私たちは銀行環境にあり、コアシステムはAIXに基づいています。複数のユーザーが SSH を使用して同じユーザー ID で同時にログインします。誰がどのIPからシステムにSSHでアクセスしたのかがわかりますが、問題は、このデフォルトのユーザーIDを使用する各ユーザーがセッション中に行った操作をどのように監査しますか?
問題は、サプライヤーに連絡しても、このコアシステムがまだこのように機能することです。同時にログインしている間は、このユーザーIDを使用して各ユーザーが行った操作を監査することが重要です。ユーザーのセッションIDを区別する方法はありますか?
答え1
SSH を使用して、複数のユーザーが同じユーザー ID で同時にログインします。
正直なところ、最も簡単な解決策は、おそらく誰もが自分のユーザーIDでログインし、その方法でタスクを実行できるようにすることです。特定のユーザーでアプリケーションを実行する必要がある場合は、次のようにsudoを介してコマンドを実行させることができます。
sudo -u <groupusername> /path/to/command.
sudo が正しく設定されていて sudo にかなり良い拡張ロギングがある場合、システムログにジョブが記録されます。
あなたは得ることができます本物改善するには、sudoを使用してください。これは非常に便利です。
他に何かできることがない場合は、人々がサーバーにSSHでアクセスし、sudo suを使用するワークフローを設定できます。これにより、時間の経過とともに追跡する可能性が高くなります。
設定履歴ファイルの問題は、そのファイルがそのユーザーの所有であるため、簡単に破損する可能性があることです。
から単にAIX監査を読んだ後は、ログイン基準ではなくユーザー基準で監査するように見えます。しかし、ICBWはこれについて知っています。それでも開いてみましょう。
だから私の考えでは(たとえ自分自身を有価証券として宣伝するわけではありませんが)専門家、私はCISSPを保有しており、その認証に関連する継続的なトレーニングを維持しています。 。少なくともDodd-Frank、PCI、およびSoX)とシステムがこれらの要件を遵守するために実行する必要がある手順を学びます。
その後、このリストを経営陣に連れて行き、今日の環境では、これが実際には選択肢ではなく、それを遵守しないとかなりの課金が課せられる可能性があると説明し、高価な罰金/手数料をどのように進めるかを決定させます。
その間、私はすべてのロギングを11に上げてクロールを開始し、それが何を言うかを関連付ける方法を見つけます。 AIXでは、特に監査が有効になっている場合可能複数のログファイルのイベントを比較する機能。
簡単な例として、ずっと前に、特定のサーバーが「衝突」した理由を疑問に思うテクニカルサポート電話を受けました。私はログを掘り下げるのに約30秒を費やし、T-5で誰かが「root」(そのアカウントを開くのは悪い考え)としてログインし、終了コマンドを実行したことを発見しました。
「ああ、あの人は私のパートナーですね。大丈夫です」 「事件を終結してもいいですか?」
問題は、あなたが最終的に刑事事件に関与し、あなたの相関関係が証拠の一部になった場合...マブソサ。私はそのような場所にしたくありません。
答え2
2つの提案があります。
別の履歴ファイルを設定します。たとえば、次のようになります。
HISTFILE=$HOME/.sh_history.$$
または、$ SSH_CONNECTIONまたは他の環境変数を変換して使用してください。
- 〜できるようにするAIX監査。
非常に重要な場合は、サードパーティのツールを監査システムに接続して、コマンドの実行をリモートシステムにオフロードできます。そうしないと、ローカル管理者がこれらの推奨事項をキャンセルできます。
答え3
次のお気に入りをお勧めします
http://www.ibm.com/developerworks/aix/library/au-audit_filter/ www.redbooks.ibm.com/redbooks/pdfs/sg246020.pdf(レッドブック)
IBM監査サブシステムを構成することもできます。 https://www.netiq.com/documentation/change-guardian/changeguardianuserguide/data/b13v6jsc.html
次の行を使用して、/etc/profile に履歴ファイルを指定することもできます。 HISTSIZE=10000 mkdir -p $HOME/.history HISTFILE=$HOME/.history/.history.$(date +%Y%m %d. %H%M%S).$$ 一意の名前の履歴ファイルへ10,000個のイベントを保持し、そのイベントのログ日付をファイル名に含めます。
このヒントが役に立つことを願っています。
挨拶。アル