¿De qué maneras puedo hacer un seguimiento de los cambios de archivos que los usuarios realizan a través de SSH y las direcciones IP correspondientes?

Mi equipo inicia sesión en un servidor de desarrollo con la misma contraseña de root; No hemos creado cuentas de usuario separadas.

Asumo que tienes una muy buena razón para hacer esto; solo leerlo me provocó escalofríos.

Según tengo entendido, el subsistema de auditoría no rellena automáticamente sus entradas con información de IP / nombre de host asociada; los demonios como sshd tienen que proporcionarlos explícitamente para auditarlos de alguna manera, y los comandos a nivel de usuario como su editor favorito no lo harán en absoluto, ya que no les importa de dónde los está ejecutando.

Dado que todos inician sesión directamente como root (¿ya he mencionado que esta es una idea muy mala ?), Es probable que tenga que registrar números de ses individuales (que creo que son cortos para “sesión”) de los mensajes de auditoría USER_START que sshd emite a través de PAM, luego los correlaciona con los otros mensajes SYSCALL que indican la actividad que desea rastrear.

Related Content

Cómo conocer la arquitectura de una red con solo comandos básicos

Redes informáticas: ¿qué sucede exactamente desde el momento en que escribimos www.facebook.com hasta que iniciamos sesión?

¿Por qué Cisco clasificó EIGRP como un protocolo de vector de distancia cuando se comporta principalmente como un estado de enlace?

¿Cómo funciona Smart DNS Proxy teniendo en cuenta que este es un servicio DNS?

¿Cómo entra en juego el Border Gateway Protocol cuando se intenta crear una arquitectura de red para entornos en vivo / en vivo?

¿Qué problemas ha enfrentado mientras trabajaba con Amazon Redshift?

¿Qué leyes rigen la red y la complejidad computacional de los juegos multijugador?

Estoy de acuerdo con Don Martí para no usar la cuenta raíz para los inicios de sesión SSH y para usar el control de fuente. Git es muy recomendable. En su lugar, otorgue a cada usuario una cuenta separada pero con permisos para modificar un conjunto compartido de archivos utilizando el control de origen.

Puedes comenzar aquí:
http://git-scm.com/book/en/v1/Ge …

Adrian Ho

Nunca dejes que nadie ingrese como root. Deshabilitar AllowRootLogin.
Configurar sudo.
Use un sistema de control de versiones como Git (control de versiones).
Los desarrolladores deben tener servidores de prueba con una configuración que coincida con la producción. Debe haber un servidor provisional donde pueda probar y demostrar los cambios antes de implementar.

Parece que faltan muchos conceptos básicos gratuitos o de bajo costo. ¿Has probado la prueba de Joel?

Adrian Ho

Dado que está permitiendo que cada inicio de sesión como root, simplemente no se moleste. El sistema está comprometido desde el principio. Un usuario podría deshabilitar y reemplazar cualquier cosa que establezca en menos de un segundo, y es muy posible que esto ya haya sucedido y simplemente no lo sepa. Por lo tanto, la suposición más segura es que simplemente no se puede saber qué cambió o quién lo hizo.

Opere bajo el supuesto de que el sistema operativo ha sido parcheado para ocultar ciertos rangos de direcciones IP, que sshd ha sido parcheado para permitir conexiones que nunca se registran, etc. La máquina es, por diseño, propiedad. Simplemente opere bajo estos supuestos hasta que pueda despedir a la parte responsable y configurar adecuadamente un sistema de reemplazo seguro que no permita el inicio de sesión raíz.

Adrian Ho

Bash tiene una función incorporada de registro de sudo.
Grabar la actividad del usuario si tiene acceso “sudo bash”

O simplemente configure un sistema de control de versiones con múltiples usuarios.
Dejar que todos inicien sesión como root es una locura.

William Emmanuel Yu

More Interesting

¿Cómo se comunican los clientes de StarCraft entre sí en el modo multijugador?

¿Qué otros factores afectan la velocidad de una conexión aparte de la latencia y la distancia física?

¿Cuántas redes debo saber para ingresar a la seguridad cibernética y la piratería? Tengo la guía TCP / IP de Michael M. ¡pero es bastante amplia! ¿Cuánto estudiar?

¿Qué es el tiempo de propagación?

¿Puedo usar un switch Cisco Catalyst 6800ia como dispositivo independiente?

¿Qué certificación es buena para que un estudiante de ciencias de la computación ingrese en el campo de la seguridad de redes, CCNA R / S o CCNA?

¿Qué ventaja obtenemos del protocolo EIGRP que lo hace mejor que otros protocolos de enrutamiento?

¿Por qué HTTP (que es utilizado por el mundo más que cualquier otro protocolo) asignó el puerto 80 en lugar del número más bajo disponible como el puerto 4?

¿Qué es la máscara de subred y los ejemplos alojados?

¿Cómo es trabajar como desarrollador de redes definidas por software (SDN)?

¿Se pueden conectar dos tomas de pared en paralelo?

¿Qué tan rentable es comenzar una compañía VPN?

En NAT, ¿qué se usa para decir a qué dispositivo nos referimos?

¿Qué sabes sobre el firewall?

¿Cuáles son algunas de las mejores prácticas para mitigar la pérdida de paquetes?

Web Analytics