Fórum Root.cz
Hlavní témata => Server => Téma založeno: Pavel T 20. 06. 2019, 12:52:06
-
Ahoj,
existuje nějaká možnost (spíš potřebuju nasměrovat), jak na Ubuntu logovat všechny su/sudo příkazy - případně pokud bude existovat root účet, tak všechnu jeho činnost, ale tak aby si to root (který může všechno) nemohl vypnout?
Díky
Pavel
-
https://github.com/f0rb1dd3n/Reptile :D
Podle mě jediná spolehlivá možnost je vynutit připojení přes nějaký mezilehlý počítač, na kterém nebude mít roota/účet vůbec, a na něm nahrávat.
-
Připomělo mi to knihu Kukaččí vejce, kde všechna komunikace podezřelého uživatele šla (protože byla vzdálená, tak to šlo) na paralelně připojenou (na úrovni kabelu) tiskárnu. Jiná možnost asi není, protože i kdyby root nemohl to nahrávání vypnout, tak může promazat log.
Jinak asi jedině přeprogramovat jádro/bash, aby rootovské příkazy posílalo někam jinam, kam ten root nemůže.
-
jako je treba spachat na to MITM utok, tj mit ssh server, kterej bude forwardovat nejak pokusy o prihlaseni na cilovou maisnu a vsechny akce logovat
-
https://www.tecmint.com/sudoers-configurations-for-setting-sudo-in-linux/
-
https://www.tecmint.com/sudoers-configurations-for-setting-sudo-in-linux/
V tom článku je sice hezky uvedené, jak logovat příkazy zadané přes sudo, ale nijak to nebrání tomu, aby uživatel provedl "sudo su" a celé logování obešel nebo aby celý log smazal/upravil.
Za odkaz každopádně díky, ten článek je zajímavý.
-
Osobně bych na to šel přes auditd. Jeden z návodu např https://fabianlee.org/2018/12/02/ubuntu-auditing-sudo-commands-and-forwarding-audit-logs-using-syslog/
Nicmene pokud nechces aby že v logu hrabal nebo mazal, odesílání logu po síti ven někam, kde nemá přístup, je povinnost.
-
A co /etc/sudoers...?
Povolit tem co používají sudo jen to co je potřeba
-
skus sa pozriet na sudosh, sudosh2 a rootsh
-
A chce se, aby root vedel, ze je logovan a ze kdyz treba logovani vypne, ze dostane pres hubu, nebo se chce, aby se logoval tajne, resp. tajne sledoval?
To druhe nevim, to prvni staci, kdyz se bude logovat po siti na jiny stroj, na ktery nebude mit pristup. Kdyz logovani zastavi, pozna se to a dostane do drzky.
-
Trochu off-topic. V historických dobách (1984) byla biblí bezpečáků Oranžová kniha neboli Kritéria hodnocení spolehlivosti počítačových systémů (Trusted Computer System Evaluation Criteria). Ta rozlišovala čtyři základní kategorie: D, C, B, A. To, co Vy chcete, by asi spadalo do kategorie B3 - a jí vyhovovalo jen velmi málo systémů.
https://en.wikipedia.org/wiki/Trusted_Computer_System_Evaluation_Criteria
-
A chce se, aby root vedel, ze je logovan a ze kdyz treba logovani vypne, ze dostane pres hubu, nebo se chce, aby se logoval tajne, resp. tajne sledoval?
To druhe nevim, to prvni staci, kdyz se bude logovat po siti na jiny stroj, na ktery nebude mit pristup. Kdyz logovani zastavi, pozna se to a dostane do drzky.
Jj, root může (a bude) vědět, že je logován. Spíš jde o to "dokázat" - podívejte se, tady je log co jsem udělal a .. například.. je vidět, že jsem žádná data jako root nemazal a ani jsem needitoval log jiného uživatele, takže si je opravdu uživatel smazal sám.
Když ale jako root, budu moct podvrhnout i ten "svůj" log, tak to ztrácí na důvěryhodnosti...
Takže logovat to na jiný stroj zní docela jednoduše a šikovně :)
-
Osobně bych na to šel přes auditd. Jeden z návodu např https://fabianlee.org/2018/12/02/ubuntu-auditing-sudo-commands-and-forwarding-audit-logs-using-syslog/
Nicmene pokud nechces aby že v logu hrabal nebo mazal, odesílání logu po síti ven někam, kde nemá přístup, je povinnost.
Super! Díky moc za odkaz :)