Supondo que eu conceda a um administrador de sistema acesso ssh (root/Sudo) temporário ao meu servidor (Ubuntu 18.04) para ajudar com um problema, como eu verificaria quais alterações foram feitas pela pessoa posteriormente?
Algumas das coisas que eu gostaria de saber incluem saber quais arquivos foram editados, quais arquivos foram criados, quais arquivos foram abertos, etc.
É um registro de ações onde se pode verificar coisas como esta?
Responder1
Como foi mencionado, há confiança envolvida quando alguém tem acesso root ao seu sistema. Farei a suposição de que a pessoa pelo menos não é hostil.
O que eu faria é:
- Certifique-se de ter um backup bom e completo do seu sistema. De qualquer forma, esta é uma boa ideia em geral.
- Execute uma ferramenta de monitoramento de integridade de arquivos, como
aidee pode informar quais arquivos foram alterados. Isso incluirá arquivos de log, o arquivo de histórico do shell e quaisquer outras alterações feitas pela pessoa (exceto alterações de tipo de rootkit hostil que podem ser ocultadas). Você provavelmente deveria copiar o banco de dados auxiliar do sistema, apenas por paranóia. - Deixe a pessoa fazer o trabalho.
- Execute novamente o aide e veja a lista de arquivos alterados. Você pode comparar a versão atual com o seu backup para ver quais alterações a pessoa fez.
aideé o monitor de integridade de arquivos de código aberto mais popular. Tutoriais (por exemplo,Este) e muitosInformaçãosobre como usá-lo estão disponíveis. Possui um pacote Ubuntu. Existem também soluções comerciais.
Responder2
Você pode verificar o histórico do shell, mas o histórico do shell é fácil de derrotar. Mesmo apenas prefaciar um comando com um espaço evitará que ele seja adicionado ao histórico, por padrão.
Para dar um passo adiante, pesquise como ativar, usar pam_tty_audite enviar esses logs de auditoria para um host remoto para revisão. Ferramentas comerciais que fazem auditoria semelhante seriam coisas comocmd.com.