Inhaltsverzeichnis
Um Benutzer auf Servern zu überwachen und zu steuern, wissen wir, dass es unter vielen anderen Gründen aufgrund von gemeinsamen Benutzern eine sehr komplexe Aufgabe ist, wie zum Beispiel viele Möglichkeiten zum Ausführen von Befehlen oder Protokollen oder je nach Zugriffsebene können Sie Berechtigungen haben, damit der eigene Benutzer bekommt delete, der sogar Binärdateien hochladen oder erstellen kann und die geänderten Dateien oder geänderten Aufrufe werden nicht eindeutig angezeigt.EIN Option, um ein wenig Kontrolle zu haben, haben wir Snoopylogger, von dem wir wissen, dass es in vielen Distributionen enthalten ist und dass es sich nur um eine Bibliothek handelt, die für die Speicherung der Befehle und den Benutzer verantwortlich ist, der sie ausführt syslogd.
Um Snoopylogger zu installieren, laden wir es vom Terminal herunter
wget http://downloads.sourceforge.net/project/snoopylogger/snoopy-1.8.0.tar.gz?r=&ts=1322946864&use_mirror=nchc
Entpacken Sie die Datei in das gewünschte Verzeichnis
tar xf snoopy-1.8.0.tar.gz
Wir greifen auf das entpackte Verzeichnis zu
cd snoopy-1.8.0
Dann müssen wir es konfigurieren und einige Parameter ändern, indem wir auf die Datei snoopy.h zugreifen
nano snoopy.h
In der Datei werden wir die folgenden Parameter setzen
#define SNOOPY_ROOT_ONLY 1 #define SNOOPY_MAX_ARG_LENGTH 12288
./konfigurieren
Dann kompilieren wir, um es mit den folgenden Befehlen zu installieren
machen && machen installieren
Wir starten das Programm mit dem folgenden Befehl
aktivieren
Dann müssen wir snoopy so einstellen, dass es automatisch ausgeführt wird, indem wir eine neue Zeile hinzufügen /etc/ld.so.preload
Schließlich wird empfohlen, das Betriebssystem neu zu starten und damit sollte es ordnungsgemäß funktionieren. Die gesammelten Protokolle werden in der Route gespeichert:
- / var / log / Nachricht
- Oder kann es auch sein /var/log/auth und /var/log/secure
Um die registrierten Logs anzuzeigen, verwenden wir den folgenden Befehl
Schwanz /var/log/auth.log
Zum Beispiel beim Ausführen der ls Befehl Vom Terminal mit dem Root-Benutzer generiert der Befehl ls zum Auflisten von Dateien den folgenden Datensatz.
6. Dez. 15:25:12 centos snoopy [13845]: [uid: 0 sid: 13833 tty: /dev / pts / 2 cwd: /root filename: /bin / ls]: ls
Was ist Sudosh?Sudosh ist ein Tool zum Aufzeichnen von Sitzungen aller Befehle, die im Terminal ausgeführt werden, als ob es ein Video wäre.
Sudosh ist so konzipiert, dass es auf Debian-Distributionen läuft wenn ein Benutzer Administratorrechte benötigt. Sobald es ausgeführt wird, speichert es die Daten in zwei Protokolldateien, in einer die Befehle und in der anderen die Zeiten. Eine herkömmliche Methode zum Umgehen des Befehlsprotokolls besteht darin, Anwendungen zu verwenden, die die Befehlsausführung zulassen. Zum Beispiel wird ein Nano-Editor geöffnet und von dort werden Anweisungen wie cat /etc /passwd eingegeben, um auf die Systemschlüssel zuzugreifen.
Diese Technik ist mit sudosh nicht möglich, da das Protokoll zeigt, wie der Nano geöffnet wird und wie die Befehle ausgeführt werden. Um es zu installieren, wird es heruntergeladen und kompiliert. Die Logfiles werden gespeichert in:
/var/log/sudosh/
Um die Videos zu überprüfen, die konvertierbare Textdateien sind, verwenden Sie den Befehl Sudosh-Wiedergabe gefolgt von der Datei-ID, ohne dieses Argument werden alle verfügbaren aufgelistet.
SchlußfolgerungDiese beiden Tools ermöglichen es uns, eine gewisse Kontrolle darüber zu haben, was unsere Benutzer ausführen, und somit in der Lage zu sein, die Sicherheit auf dem Server angemessener zu verwalten.Hat dir dieses Tutorial gefallen und geholfen?Sie können den Autor belohnen, indem Sie diesen Knopf drücken, um ihm einen positiven Punkt zu geben
