Không tin tưởng bất cứ ai, kể cả tường lửa của riêng tôi và các biện pháp khác chống lại tin tặc xâm lấn, tôi muốn có thể theo dõi bất kỳ thông tin đăng nhập thành công nào vào hệ thống OS X của mình ngay lập tức gửi email đến tài khoản gmail của tôi).
Làm cách nào để thực hiện việc này, bao gồm đăng nhập thông qua Chia sẻ màn hình và SSH?
Tôi có thể thấy rằng tệp safe.log liệt kê các thông tin đăng nhập như vậy, nhưng làm cách nào để theo dõi chúng và lọc chúng để đăng nhập thành công, để phát hành email về các sự kiện này?
Người dùng bmike đã đề xuất sử dụng lệnh tail trên tệp safe.log. Tôi thấy rằng lệnh này có một tùy chọn "-F" rất phù hợp cho nhiệm vụ này: Tôi tiếp tục báo cáo các dòng được thêm vào tệp nhật ký và thậm chí xử lý xoay vòng tệp nhật ký.
Nhưng điều này là không đủ cho nhu cầu của tôi. Tôi chỉ muốn gửi thông báo nếu xảy ra truy cập bên ngoài (đăng nhập), không phải mỗi khi một tác vụ cục bộ được ủy quyền.
Đây là một đoạn trích từ tệp Secure.log của tôi:
mymac login[26292]: in pam_sm_acct_mgmt(): OpenDirectory - Membership cache TTL set to 1800.
mymac login[26292]: in od_record_check_pwpolicy(): retval: 0
mymac login[26292]: in od_record_attribute_create_cfstring(): returned 3 attributes for dsAttrTypeStandard:AuthenticationAuthority
mymac sudo[26296]: myname : 3 incorrect password attempts ; TTY=ttys005 ; PWD=/Users/myname ; USER=root ; COMMAND=/bin/bash
mymac sudo[26301]: myname : TTY=ttys005 ; PWD=/Users/myname ; USER=root ; COMMAND=/bin/bash
mymac com.apple.SecurityServer[27]: Succeeded authorizing right 'system.hdd.smart' by client '/Library/Application Support/iStat local/iStatLocalDaemon' [133] for authorization created by '/Library/Application Support/iStat local/iStatLocalDaemon' [133]
mymac sshd[26308]: Accepted publickey for myname from x.x.x.x port 62433 ssh2
mymac screensharingd[26328]: Authentication: SUCCEEDED :: User Name: John Doe :: Viewer Address: x.x.x.x :: Type: DH
Chỉ những cái "Screensharingd" và "sshd" có liên quan đến tôi trong ví dụ này. Nhưng dường như không có sự phân biệt rõ ràng giữa những điều này và các ủy quyền địa phương khác. Mẫu phổ biến duy nhất tôi tìm thấy là địa chỉ IP, nhưng điều đó có an toàn không? Tôi đoán để làm cho tập lệnh của tôi thường có thể sử dụng được (bởi bất kỳ ai), tôi không chỉ phải phát hiện địa chỉ IPv4 mà cả địa chỉ IPv6. Và tôi có thể chắc chắn rằng các loại thông tin đăng nhập bên ngoài khác (ví dụ: chia sẻ tệp) cũng sẽ liệt kê một địa chỉ IP ở định dạng thô như thế này không? Không bao giờ sử dụng tên tượng trưng mà tôi sẽ không thể phát hiện với mẫu này?
Trên thực tế, tôi cũng đã đăng nhập thông qua Chia sẻ tệp (AFP) - điều đó thậm chí còn không được liệt kê trong safe.log, thật kỳ lạ! Điều đó có nghĩa là safe.log có lẽ không phải là điểm duy nhất hoặc không phải là điểm trung tâm của việc tìm hiểu về ủy quyền.
Tôi đã hy vọng rằng có một số điểm trung tâm trong OSX chăm sóc tất cả các ủy quyền tên người dùng / mật khẩu và điểm này cũng sẽ cung cấp một số móc để theo dõi.
Tôi sợ câu hỏi của tôi không thể được trả lời đầy đủ theo cách chung chung. Tôi sẽ đi ngay bây giờ và hỏi về danh sách gửi thư bảo mật của Apple. Tôi sẽ báo cáo lại.
Lý lịch:
Lý do của tôi cho loại câu hỏi này là tôi nghĩ rằng không có hệ thống nào an toàn khi đột nhập. Do đó, dựa vào các biện pháp để ngăn chặn đột nhập không phải là một biện pháp an toàn. Thêm thông báo (bên ngoài) về thời điểm đăng nhập vào hệ thống xảy ra là điều giúp kiểm soát tốt hơn nhiều: Nếu ai đó quản lý để xâm nhập, anh ta sẽ bị phát hiện bởi phương thức này và do đó hệ thống được biết là không còn đáng tin nữa và sẽ bị xử lý. Nếu không có loại giám sát này, ai đó có thể đột nhập và sau đó sửa đổi hệ thống thành điểm mà sau đó ai đó sẽ không thể biết được chuyện gì đã xảy ra, giả sử hệ thống vẫn an toàn.