Chúng tôi đang chuyển từ mật khẩu gốc được chia sẻ sang sử dụng sudo. Làm cách nào để kiểm toán việc sử dụng sudo?

8

Khi tôi lên tàu, tất cả các SA của chúng tôi phải ghi nhớ mật khẩu gốc vào hệ thống. Tôi cảm thấy rằng điều này là cồng kềnh (khi ai đó tách khỏi công ty, chúng tôi phải chạm vào mọi máy chủ và thay đổi mật khẩu) và không an toàn.

Cuối cùng đã có đủ sức kéo để đẩy tài khoản cá nhân có sudoquyền truy cập. Tôi muốn có một sự chuyển đổi suôn sẻ vì vậy đây là kế hoạch ban đầu của tôi:

  1. Cho phép SA thực hiện các lệnh "được phê duyệt" mà không cần nhập mật khẩu.
  2. Mỗi lệnh khác sẽ yêu cầu mật khẩu mỗi khi bạn sử dụng sudo. Tôi sẽ kiểm tra lệnh này và định nghĩa chúng là "được phê duyệt" nếu thấy cần thiết hoặc ngăn chúng được thực thi nếu chúng gây rủi ro bảo mật.

Thông số người dùng của chúng tôi trông như thế này:

%sysadmins      ALL =  PASSWD: ALL, NOPASSWD: SERVICES, FILE_READING, !/bin/su

Câu hỏi: Làm thế nào để tôi có sudokiểm toán (thích hợp hơn qua e-mail nhưng nhật ký sẽ làm) khi một lệnh được cấu hình với PASSWDđược thực thi?

linux  security  sudo 
Belmin
nguồn
Bạn có thể muốn xem xét báo cáo nhật ký tập trung và sử dụng một công cụ như Logstash hoặc Splunk. Làm cho bẫy các sự kiện này dễ dàng hơn và tập trung vào khía cạnh cảnh báo / kiểm toán. Đáng làm nếu bạn có số lượng điểm cuối ngày càng tăng để theo dõi.
jeffatrackaid

Câu trả lời:

11

Mỗi lần sudo được gọi, nó sẽ ghi lại lệnh được thực thi thành syslog, vì vậy tôi khuyên bạn chỉ nên cài đặt logwatch. Theo mặc định, nó đi kèm với các bộ lọc / bộ tổng hợp để phân tích các mục sudo và nó có thể gửi email cho bạn các báo cáo hàng ngày.

Bạn có thể cần phải viết bộ lọc logwatch tùy chỉnh để phân biệt giữa hai bộ lệnh khác nhau của bạn.

Nếu bạn cần thông báo tức thời về các lệnh sudo, bạn có thể sử dụng mô-đun đầu ra thư với rsyslog. Bạn sẽ cần áp dụng các bộ lọc để chỉ những tin nhắn sudo được gửi đến mô-đun này, kẻo bạn thức dậy vào buổi sáng với 10k tin nhắn trong hộp thư đến.

EEAA
nguồn
để kiểm tra thêm, hãy xem tại: linux.die.net/man/8/auditd
JMW
0

Giống như ErikA đã nói, sudo sẽ đăng nhập mọi thứ đang chạy. Bạn cũng có thể cài đặt Splunk và (nếu sử dụng phiên bản trả phí) sẽ có một cảnh báo gửi email cho bạn bất cứ khi nào nó thấy tin nhắn sudo. Điều này một mình có lẽ không có giá trị giấy phép, nhưng nếu bạn đã có, hoặc đã suy nghĩ về nó, điều này sẽ dễ dàng được quan tâm.

Bill Weiss
nguồn
0

Thông thường tất cả các sự kiện này được đăng nhập vào "/var/log/auth.log"

Shri
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.