Предположим, я предоставлю системному администратору временный доступ по SSH (root/sudo) к моему серверу (Ubuntu 18.04) для решения проблемы. Как мне проверить, какие изменения он внес впоследствии?
Некоторые вещи, которые я хотел бы знать, включают в себя сведения о том, какие файлы были отредактированы, какие файлы были созданы, какие файлы были открыты и т. д.
Есть ли журнал действий, где можно проверить такие вещи?
решение1
Как уже упоминалось, доверие подразумевается, когда кто-то имеет root-доступ к вашей системе. Я сделаю предположение, что этот человек, по крайней мере, не враждебен.
Я бы сделал следующее:
- Убедитесь, что у вас есть хорошая, полная резервная копия вашей системы. В любом случае, это хорошая идея.
- Запустите средство контроля целостности файлов, например
aide, и может сказать вам, какие файлы были изменены. Это будет включать файлы журнала, файл истории оболочки и любые другие изменения, сделанные человеком (за исключением изменений типа враждебного руткита, которые могут быть скрыты). Вероятно, вам следует скопировать базу данных aide из системы, просто из паранойи. - Позвольте человеку сделать работу.
- Повторно запустите aide и посмотрите список измененных файлов. Вы можете сравнить текущую версию с резервной копией, чтобы увидеть, какие изменения внес человек.
aideявляется самым популярным монитором целостности файлов с открытым исходным кодом. Учебники (например,Вот этот) и многоинформацияоб использовании доступны. Имеет пакет Ubuntu. Также есть коммерческие решения.
решение2
Вы можете проверить историю оболочки, но историю оболочки легко обмануть. Даже простое добавление пробела перед командой не позволит ей быть добавленной в историю по умолчанию.
Чтобы сделать еще один шаг вперед, исследуйте включение и использование pam_tty_auditи отправку этих журналов аудита на удаленный хост для проверки. Коммерческие инструменты, которые выполняют подобный аудит, могут быть такими, какcmd.com.