假設我向系統管理員授予對我的伺服器(Ubuntu 18.04)的臨時 ssh(root/sudo)存取權限以協助解決問題,我將如何檢查此人之後進行了哪些更改?
我想知道的一些事情包括知道編輯了哪些文件、創建了哪些文件、打開了哪些文件等。
他們是一個可以檢查類似內容的操作日誌嗎?
答案1
如前所述,當某人擁有您系統的 root 存取權時,就會涉及信任。我會假設這個人至少沒有敵意。
我要做的是:
- 確保您的系統有良好、完整的備份。無論如何,這總體上是個好主意。
- 運行文件完整性監控工具,例如
aide,並可以告訴您哪些文件發生了變化。這將包括日誌檔案、shell 歷史檔案以及該人所做的任何其他變更(可以隱藏的惡意 rootkit 類型變更除外)。您可能應該將輔助資料庫從系統複製出來,只是出於偏執。 - 讓該人來做這項工作。
- 重新運行aide並查看更改的文件列表。您可以將目前版本與備份進行比較,以查看該人所做的變更。
aide是最受歡迎的開源檔案完整性監視器。教程(例如,這個)和很多資訊關於使用它可用。它有一個 Ubuntu 軟體包。還有商業解決方案。
答案2
你可以檢查shell的歷史記錄,但是shell歷史記錄很容易被破解。預設情況下,即使只是在命令前面加上空格也會阻止其添加到歷史記錄中。
更進一步,研究啟用和使用pam_tty_audit這些審核日誌並將其發送到遠端主機以供審核。進行類似審計的商業工具如下cmd.com。