ユーザーのアクティビティを追跡するために、Linuxではどのような監査ログファイルが生成されますか?

ユーザーのアクティビティを追跡するために、Linuxではどのような監査ログファイルが生成されますか?

私たちのネットワークのコンピュータは大量のインターネット帯域幅を消費します。ただし、システムを使用しているユーザーはいません。

サーバーにSSHで接続して実行すると、whoユーザーが自分が認識していないIPからログインしたとマークされます。システムはこのユーザーを作成していません。そして、/etc/sudoersユーザーは無制限のルートアクセス権を持っています。

test11   ALL = NOPASSWD: ALL

セッションを終了し、ルートパスワードを変更しました。ユーザーも削除しました。

今は安全なようですが、なぜこれが起こったのか、ユーザーが何をしたのかを分析する必要があります。

このユーザーが行った操作に関する追加情報をどのように見つけることができますか? IP、期間、コマンドの実行、訪問したインターネットサイトなどの詳細情報を取得するのに役立つシステムログファイルは何ですか?

注:これはCentOS 6システムのデフォルトインストールです。セキュリティまたは監査ソフトウェアがインストールされていません。システム構成も変更されていません。基本インストールから何を抽出できるかを知る必要があります。

答え1

お客様のシステムが破損しているため、そのシステムから取得した情報はすべて信頼できません。外部システムに即座に送信されたログ(リアルタイムリモートシステムログなど)のみが信頼できます。これは、一部の夜間ログがNFS共有に循環しても信頼できないことを意味します。

ただし、ユーザーが自分の痕跡を隠そうとしていなかった可能性があり、システムはその情報を引き続き使用できます。

残念ながら、デフォルトのCentos / RHELインストールではロギングはほとんどありません。デフォルトでは/var/log、どのログを調べる必要があるかは、そのシステムで実行されているサービスによって異なります。しかし、SSHログから始めましょう。次に、rootとして実行しているか、sudo

運が良ければ、そのユーザーは自分がしたことの履歴を含むファイルを含むtest11ホームディレクトリを持つことができます。.bash_history


また、未知のユーザーがrootアクセス権を取得するのに十分なほどシステムが破損しているため、システムを最初から再構築する必要がありました。システムのどれも再利用できません。すべてのファイルを破損したファイルとして扱います。また、システムが損傷しているかどうかわからないため、バックアップを使用しないことをお勧めします。

ユーザーがrootアクセス権を取得したら、バックドアを無制限にインストールできます。私があなたのシステムにアクセスしている人なら、単にtest11ユーザーを削除し、パスワードを変更してもroot遅くなりません。


今後はできることがいくつかあります。

リモート録音

前述のように、リアルタイムリモートロギングのみが信頼でき、変調できません。これを持っていることを確認してください。

審査

システムの重要なコンポーネントを監視および監査するためにインストールして使用する必要がある2つのユーティリティがあります。これらはすべて審査そしてオセク

両方のユーティリティは異なる動作をしますが、異常なアクティビティを監視するのと同じ目的があります。

端末ログ

次のような別の監査ツールがあります。pam_tty_auditこれは前述のユーティリティと一緒に使用されますauditdpam_tty_auditTTYのすべての入出力を記録するpamスタックに追加されたユーティリティ。つまり、ユーザーがインタラクティブSSHを介してボックスにアクセスすると、そのアクティビティが記録されます。
しかし、最も重要なのは、どんな犠牲を払ってもこのログを保護することです。これは主にパスワードによるものです。プロンプトでパスワードを入力すると、入力されたパスワードが表示されなくても、モジュールはpam_tty_auditそれを表示して記録します。catまた、記録されている機密情報を含むファイルをエクスポートまたは表示することもできます。したがって、侵入者がログを取得できないように、ログをローカルシステム上で即座に移動または暗号化する必要があります(そして、復号化キーはローカルシステムに配置しないでください)。どちらも実行し、リモートで送信して暗号化することが望ましい。

関連情報