Съдържание
За да наблюдаваме и контролираме потребителите на сървъри, знаем, че това е много сложна задача поради споделените потребители сред много други причини, като например много начини за изпълнение на команди или регистрационни файлове или в зависимост от нивото на достъп, можете да имате разрешения, така че собственият потребител получава изтриване, което дори може да качва или създава двоични файлове, а променените файлове или променените повиквания не се показват ясно.А възможност за малко контрол имаме snoopylogger, за който знаем, че е включен в много дистрибуции и че това е само библиотека, която ще отговаря за съхраняването на командите и потребителя, който ги изпълнява чрез syslogd.
За да инсталираме Snoopylogger, го изтегляме от терминала
wget http://downloads.sourceforge.net/project/snoopylogger/snoopy-1.8.0.tar.gz?r=&ts=1322946864&use_mirror=nchc
Разархивирайте файла в директорията, която искаме
tar xf snoopy-1.8.0.tar.gz
Достъпваме до разархивираната директория
cd snoopy-1.8.0
След това ще трябва да го конфигурираме и променим някои параметри, като влезем в файла snoopy.h
nano snoopy.h
Вътре във файла ще зададем следните параметри
#define SNOOPY_ROOT_ONLY 1 #define SNOOPY_MAX_ARG_LENGTH 12288
./конфигуриране
След това компилираме, за да го инсталираме със следните команди
направи && направи инсталация
Стартираме програмата със следната команда
активирайте
След това трябва да настроим snoopy да работи автоматично, като добавим нов ред /etc/ld.so.preload
Накрая се препоръчва да рестартирате операционната система и с нея тя да започне да работи правилно. Събраните регистрационни файлове ще бъдат запазени в маршрута:
- / var / log / message
- Или също може да бъде / var / log / auth и / var / log / secure
За да видим регистрираните регистрационни файлове, използваме следната команда
tail /var/log/auth.log
Например при стартиране на Команда е От терминала с root потребител командата ls за изброяване на файлове генерира следния запис.
6 дек. 15:25:12 centos snoopy [13845]: [uid: 0 sid: 13833 tty: / dev / pts / 2 cwd: / root filename: / bin / ls]: ls
Какво е Sudosh?Sudosh е инструмент, използван за запис на сесии, сякаш е видео, на всички команди, които се изпълняват в терминала.
Sudosh е проектиран да работи на дистрибуции на Debian когато потребителят изисква администраторски права. След като бъде изпълнен, той съхранява данните в два регистрационни файла, в единия от командите, а в другия - в пъти. Традиционен метод за заобикаляне на командния дневник е чрез използване на приложения, които позволяват изпълнение на команди. Например, отваря се нано редактор и оттам се въвеждат инструкции като cat / etc / passwd за достъп до системните ключове.
Тази техника не е възможна с sudosh, тъй като дневникът ще покаже как се отваря nano и как се изпълняват командите. За да го инсталирате, той се изтегля и компилира. Дневните файлове се съхраняват в:
/ var / log / sudosh /
За да прегледате видеоклиповете, които са конвертируеми текстови файлове, използвайте командата sudosh-replay последвано от идентификатора на файла, без този аргумент ще бъдат изброени всички налични.
Окончателно заключениеТези два инструмента ще ни позволят да имаме известен контрол върху това, което нашите потребители изпълняват и по този начин да можем да имаме по -адекватно управление на сигурността на сървъра.Хареса ли ви и помогнахте на този урок?Можете да възнаградите автора, като натиснете този бутон, за да му дадете положителна точка
