Table des matières
Afin de surveiller et de contrôler les utilisateurs sur les serveurs, nous savons qu'il s'agit d'une tâche très complexe en raison des utilisateurs partagés parmi de nombreuses autres raisons, telles que de nombreuses façons d'exécuter des commandes ou des journaux ou en fonction du niveau d'accès, vous pouvez avoir des autorisations pour que le propre utilisateur obtient une suppression qui peut même télécharger ou créer des binaires et les fichiers modifiés ou les appels modifiés ne sont pas clairement affichés.Ongle option pour avoir un peu de contrôle nous avons snoopylogger, dont nous savons qu'il est inclus dans de nombreuses distributions, et que ce n'est qu'une bibliothèque qui se chargera de stocker les commandes et l'utilisateur qui les exécute via syslogd.
Pour installer Snoopylogger, nous le téléchargeons depuis le terminal
wget http://downloads.sourceforge.net/project/snoopylogger/snoopy-1.8.0.tar.gz?r=&ts=1322946864&use_mirror=nchc
Décompressez le fichier dans le répertoire que nous voulons
tar xf snoopy-1.8.0.tar.gz
Nous accédons au répertoire décompressé
cd snoopy-1.8.0
Ensuite, nous devrons le configurer et modifier certains paramètres en accédant au fichier snoopy.h
nano snoopy.h
Dans le fichier, nous allons définir les paramètres suivants
#définir SNOOPY_ROOT_ONLY 1 #définir SNOPY_MAX_ARG_LENGTH 12288
./configurer
Puis on compile pour l'installer avec les commandes suivantes
faire && faire installer
Nous commençons le programme avec la commande suivante
rendre activer
Ensuite, nous devons configurer snoopy pour qu'il s'exécute automatiquement en ajoutant une nouvelle ligne dans /etc/ld.so.preload
Enfin, il est recommandé de redémarrer le système d'exploitation et avec lui, il devrait commencer à fonctionner correctement. Les logs collectés seront sauvegardés dans la route :
- /var/log/message
- Ou ça peut être aussi /var/log/auth et /var/log/secure
Afin de voir les journaux qui ont été enregistrés, nous utilisons la commande suivante
queue /var/log/auth.log
Par exemple lors de l'exécution du commande ls Depuis le terminal avec l'utilisateur root, la commande ls pour lister les fichiers génère l'enregistrement suivant.
6 déc 15:25:12 centos snoopy [13845]: [uid: 0 sid: 13833 tty: /dev/pts/2 cwd: /root filename: /bin/ls]: ls
Qu'est-ce que le Sudosh ?Sudosh est un outil utilisé pour enregistrer des sessions, comme s'il s'agissait d'une vidéo, de toutes les commandes exécutées dans le terminal.
Sudosh est conçu pour fonctionner sur les distributions Debian lorsqu'un utilisateur requiert des privilèges d'administrateur. Une fois exécuté, il stocke les données dans deux fichiers journaux, dans l'un les commandes et dans l'autre les heures. Une méthode traditionnelle pour contourner le journal des commandes consiste à utiliser des applications qui permettent l'exécution de commandes. Par exemple, un éditeur nano est ouvert et à partir de là, des instructions sont saisies, telles que cat / etc / passwd, pour accéder aux clés du système.
Cette technique n'est pas possible avec sudosh, car le journal montrera comment le nano est ouvert et comment les commandes sont exécutées. Pour l'installer, il est téléchargé et compilé. Les fichiers journaux sont stockés dans :
/var/log/sudosh/
Pour revoir les vidéos qui sont des fichiers texte convertibles, utilisez la commande sudosh-replay suivi de l'ID de fichier, sans cet argument, tous les éléments disponibles seront répertoriés.
Conclusion finaleCes deux outils nous permettront d'avoir un certain contrôle sur ce que nos utilisateurs exécutent et ainsi de pouvoir avoir une gestion plus adéquate de la sécurité sur le serveur.Avez-vous aimé et aidé ce tutoriel ?Vous pouvez récompenser l'auteur en appuyant sur ce bouton pour lui donner un point positif
