Logování činností roota

Logování činností roota
« kdy: 20. 06. 2019, 12:52:06 »
Ahoj,

existuje nějaká možnost (spíš potřebuju nasměrovat), jak na Ubuntu logovat všechny su/sudo příkazy - případně pokud bude existovat root účet, tak všechnu jeho činnost, ale tak aby si to root (který může všechno) nemohl vypnout?

Díky

Pavel


_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Logování činností roota
« Odpověď #1 kdy: 20. 06. 2019, 13:08:49 »
https://github.com/f0rb1dd3n/Reptile :D

Podle mě jediná spolehlivá možnost je vynutit připojení přes nějaký mezilehlý počítač, na kterém nebude mít roota/účet vůbec, a na něm nahrávat.

Re:Logování činností roota
« Odpověď #2 kdy: 20. 06. 2019, 17:37:13 »
Připomělo mi to knihu Kukaččí vejce, kde všechna komunikace podezřelého uživatele šla (protože byla vzdálená, tak to šlo) na paralelně připojenou (na úrovni kabelu) tiskárnu. Jiná možnost asi není, protože i kdyby root nemohl to nahrávání vypnout, tak může promazat log.
Jinak asi jedině přeprogramovat jádro/bash, aby rootovské příkazy posílalo někam jinam, kam ten root nemůže.

Re:Logování činností roota
« Odpověď #3 kdy: 20. 06. 2019, 18:04:55 »
jako je treba spachat na to MITM utok, tj mit ssh server, kterej bude forwardovat nejak pokusy o prihlaseni na cilovou maisnu a vsechny akce logovat

ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.


Re:Logování činností roota
« Odpověď #5 kdy: 22. 06. 2019, 07:51:21 »
https://www.tecmint.com/sudoers-configurations-for-setting-sudo-in-linux/

V tom článku je sice hezky uvedené, jak logovat příkazy zadané přes sudo, ale nijak to nebrání tomu, aby uživatel provedl "sudo su" a celé logování obešel nebo aby celý log smazal/upravil.
Za odkaz každopádně díky, ten článek je zajímavý.

Re:Logování činností roota
« Odpověď #6 kdy: 22. 06. 2019, 10:32:50 »
Osobně bych na to šel přes auditd. Jeden z návodu např https://fabianlee.org/2018/12/02/ubuntu-auditing-sudo-commands-and-forwarding-audit-logs-using-syslog/

Nicmene pokud nechces aby že v logu hrabal nebo mazal, odesílání logu po síti ven někam, kde nemá přístup, je povinnost.


ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
Re:Logování činností roota
« Odpověď #7 kdy: 22. 06. 2019, 10:41:14 »
A co /etc/sudoers...?
Povolit tem co používají sudo jen to co je potřeba
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

Re:Logování činností roota
« Odpověď #8 kdy: 22. 06. 2019, 10:42:39 »
skus sa pozriet na sudosh, sudosh2 a rootsh

Re:Logování činností roota
« Odpověď #9 kdy: 25. 06. 2019, 12:41:29 »
A chce se, aby root vedel, ze je logovan a ze kdyz treba logovani vypne, ze dostane pres hubu, nebo se chce, aby se logoval tajne, resp. tajne sledoval?

To druhe nevim, to prvni staci, kdyz se bude logovat po siti na jiny stroj, na ktery nebude mit pristup. Kdyz logovani zastavi, pozna se to a dostane do drzky.

f-k-r

  • ***
  • 102
    • Zobrazit profil
    • E-mail
Re:Logování činností roota
« Odpověď #10 kdy: 26. 06. 2019, 22:25:18 »
Trochu off-topic. V historických dobách (1984) byla biblí bezpečáků Oranžová kniha neboli Kritéria hodnocení spolehlivosti počítačových systémů (Trusted Computer System Evaluation Criteria). Ta rozlišovala čtyři základní kategorie: D, C, B, A. To, co Vy chcete, by asi spadalo do kategorie B3 - a jí vyhovovalo jen velmi málo systémů.

https://en.wikipedia.org/wiki/Trusted_Computer_System_Evaluation_Criteria

Re:Logování činností roota
« Odpověď #11 kdy: 27. 06. 2019, 12:55:26 »
A chce se, aby root vedel, ze je logovan a ze kdyz treba logovani vypne, ze dostane pres hubu, nebo se chce, aby se logoval tajne, resp. tajne sledoval?

To druhe nevim, to prvni staci, kdyz se bude logovat po siti na jiny stroj, na ktery nebude mit pristup. Kdyz logovani zastavi, pozna se to a dostane do drzky.

Jj, root může (a bude) vědět, že je logován. Spíš jde o to "dokázat" - podívejte se, tady je log co jsem udělal a .. například.. je vidět, že jsem žádná data jako root nemazal a ani jsem needitoval log jiného uživatele, takže si je opravdu uživatel smazal sám.

Když ale jako root, budu moct podvrhnout i ten "svůj" log, tak to ztrácí na důvěryhodnosti...
Takže logovat to na jiný stroj zní docela jednoduše a šikovně :)

Re:Logování činností roota
« Odpověď #12 kdy: 27. 06. 2019, 12:56:36 »
Osobně bych na to šel přes auditd. Jeden z návodu např https://fabianlee.org/2018/12/02/ubuntu-auditing-sudo-commands-and-forwarding-audit-logs-using-syslog/

Nicmene pokud nechces aby že v logu hrabal nebo mazal, odesílání logu po síti ven někam, kde nemá přístup, je povinnost.

Super! Díky moc za odkaz :)