คำถามติดแท็ก audit

การสังเกต / บันทึกทรัพยากรเพื่อวัตถุประสงค์: - การเพิ่มลงในบัญชีดำของรายการที่อนุญาตพิเศษ - การดูแลรักษาความปลอดภัยของระบบ

4
Linux: ตั้งค่าสำหรับดูแลระบบระยะไกล
ทุกครั้งที่ฉันได้รับคำขอแปลก ๆ เพื่อให้การสนับสนุนระยะไกลการแก้ไขปัญหาและ / หรือการปรับแต่งประสิทธิภาพในระบบ Linux บริษัท ขนาดใหญ่มักมีขั้นตอนที่กำหนดไว้แล้วอย่างดีในการให้การเข้าถึงระยะไกลแก่ผู้ขาย / ซัพพลายเออร์และฉันต้องปฏิบัติตามนั้น (ให้ดีขึ้นหรือแย่ลง.) ในทางกลับกัน บริษัท ขนาดเล็กและบุคคลทั่วไปหันมาหาฉันเพื่อสอนพวกเขาด้วยสิ่งที่พวกเขาต้องทำเพื่อจัดตั้งฉันขึ้นมา โดยทั่วไปแล้วเซิร์ฟเวอร์ของพวกเขาจะเชื่อมต่อโดยตรงกับอินเทอร์เน็ตและมาตรการรักษาความปลอดภัยที่มีอยู่ประกอบด้วยค่าเริ่มต้นสำหรับการแจกจ่าย Linux ของพวกเขา เกือบทุกครั้งที่ฉันจะต้องเข้าถึงระดับรูทและใครก็ตามที่จะตั้งค่าการเข้าถึงสำหรับฉันไม่ใช่ผู้เชี่ยวชาญระบบ ฉันไม่ต้องการรหัสผ่านรูทของพวกเขาและฉันก็ค่อนข้างแน่ใจว่าการกระทำของฉันจะไม่เป็นอันตราย แต่ฉันควรให้คำแนะนำง่ายๆอะไรกับ: ตั้งค่าบัญชีและแลกเปลี่ยนข้อมูลรับรองอย่างปลอดภัย ตั้งค่าการเข้าถึงรูท (sudo) จำกัด การเข้าถึงบัญชีของฉัน ให้หลักฐานการตรวจสอบ (และใช่ฉันรู้และเตือนลูกค้าเหล่านั้นเสมอว่าเมื่อฉันมีการเข้าถึงของผู้ดูแลระบบการซ่อนการกระทำที่เป็นอันตรายใด ๆ เป็นเรื่องเล็กน้อย แต่สมมติว่าฉันไม่มีอะไรจะซ่อนและมีส่วนร่วมในการสร้างหลักฐานการตรวจสอบ) สิ่งที่สามารถปรับปรุงได้ในขั้นตอนด้านล่าง ชุดคำสั่งปัจจุบันของฉัน: ตั้งค่าบัญชีและแลกเปลี่ยนข้อมูลรับรองอย่างปลอดภัย ฉันให้แฮชรหัสผ่านและขอให้บัญชีของฉันได้รับการตั้งค่าด้วยรหัสผ่านที่เข้ารหัสดังนั้นเราไม่จำเป็นต้องส่งรหัสผ่านแบบข้อความที่ชัดเจนฉันเป็นคนเดียวที่รู้รหัสผ่านและเราไม่ได้เริ่มด้วย รหัสผ่านที่คาดเดาได้ยาก sudo useradd -p '$1$********' hbruijn ฉันให้คีย์สาธารณะ SSH (คู่คีย์เฉพาะต่อลูกค้า) และขอให้พวกเขาตั้งค่าบัญชีของฉันด้วยคีย์นั้น: sudo su - hbruijn mkdir -p …
51 linux  security  sudo  root  audit 

10
ฉันจะรู้ได้อย่างไรว่าเซิร์ฟเวอร์ Linux ของฉันถูกแฮ็ก
อะไรคือสัญญาณบอกเล่าว่าเซิร์ฟเวอร์ Linux ถูกแฮ็ก มีเครื่องมือใดที่สามารถสร้างและส่งอีเมลรายงานการตรวจสอบตามกำหนดเวลาได้หรือไม่?

10
วิธีการติดตามกิจกรรม superuser
ฉันต้องการทราบว่าวิธีใดที่ดีที่สุดสำหรับการติดตามกิจกรรม superuser บนสภาพแวดล้อม Linux โดยเฉพาะฉันกำลังมองหาคุณสมบัติเหล่านี้: A) การบันทึกการกดแป้นพิมพ์ไปยังเซิร์ฟเวอร์ syslog ที่ปลอดภัย B) ความสามารถในการเล่นซ้ำเซสชันของเชลล์ (คล้ายกับ scriptreplay) C) ตามหลักแล้วนี่เป็นสิ่งที่เป็นไปไม่ได้ (หรือค่อนข้างยาก) ในการหลีกเลี่ยงโดยไม่ต้องเข้าถึงเซิร์ฟเวอร์ คิดเกี่ยวกับสิ่งนี้จากมุมมองด้านความปลอดภัย / การตรวจสอบในสภาพแวดล้อมที่จำเป็นต้องได้รับอนุญาตให้ดูแลระบบที่แตกต่างกัน (หรือบุคคลที่สาม) เพื่อดำเนินการสิทธิพิเศษบนเซิร์ฟเวอร์ ผู้ดูแลระบบทุกคนจะมีบัญชีผู้ใช้ของตนเองและทุกเซสชันแบบโต้ตอบควรถูกบันทึกไว้อย่างสมบูรณ์โดยมีความเป็นไปได้ที่จะเล่นซ้ำหากจำเป็น (ตัวอย่างเช่นถ้ามีคนใช้ mc เพื่อลบหรือแก้ไขไฟล์สำคัญมันจะไม่เพียงพอ รู้ว่าบุคคลนั้นออกคำสั่ง mc นั้นจะต้องมีวิธีการดูสิ่งที่ทำหลังจากเปิดตัว mc) หมายเหตุเพิ่มเติม : ตามที่ womble ได้ชี้ให้เห็นอาจเป็นตัวเลือกที่ดีที่สุดที่จะไม่มีคนลงชื่อเข้าใช้ด้วยสิทธิ์ root เพื่อทำการเปลี่ยนแปลงบนเซิร์ฟเวอร์ แต่แทนที่จะทำสิ่งนั้นผ่านระบบจัดการการตั้งค่า ดังนั้นสมมติสถานการณ์ที่เราไม่ได้มีระบบดังกล่าวและเราจำเป็นต้องให้สิทธิ์การเข้าถึงระดับรากกับคนที่แตกต่างกันมากกว่าเซิร์ฟเวอร์เดียวกัน ฉันไม่สนใจเลยที่จะทำสิ่งนี้อย่างลับ ๆ ล่อใจ: ทุกคนที่ลงชื่อเข้าใช้เซิร์ฟเวอร์ที่มีสิทธิ์ใช้งานรูทจะทราบว่าเซสชันนั้นจะถูกบันทึกไว้ (เช่นเดียวกับที่ผู้ดำเนินการศูนย์บริการรู้ว่าการสนทนาของพวกเขานั้น กำลังบันทึก) จะไม่มีใครใช้บัญชี superuser ทั่วไป ("root") ฉันรู้เกี่ยวกับttyrpldและดูเหมือนว่าจะทำสิ่งที่ฉันกำลังมองหา …
21 linux  security  audit 

6
Cygwin SSHd Autoblock การเข้าสู่ระบบล้มเหลว
ฉันใช้ Cygwin ด้วย SSH deamon บนเครื่อง Windows Server 2008 ฉันกำลังดูตัวแสดงเหตุการณ์และสังเกตเห็นว่ามีความพยายามในการเข้าสู่ระบบที่ล้มเหลว 5 ถึง 6 ครั้งต่อวินาที (แรงเดรัจฉาน) สำหรับสัปดาห์ที่แล้วหรือมากกว่านั้นจาก IP ที่แตกต่างกัน ฉันจะล็อค IP เหล่านี้โดยอัตโนมัติแทนที่จะปิดกั้นทีละคนด้วยตนเองได้อย่างไร ขอบคุณอาห์หมัด

2
ฉันจะแสดงรายการ MAC, Ciphers และ KexAlogrithms ที่รองรับโดยเซิร์ฟเวอร์ ssh ของฉันได้อย่างไร
ฉันจะกำหนด MAC, Ciphers, Key length และ KexAlogrithms ที่รองรับโดยเซิร์ฟเวอร์ ssh ของฉันได้อย่างไร ฉันต้องการสร้างรายการสำหรับการตรวจสอบความปลอดภัยภายนอก openssl s_client -connect example.com:443 -showcertsฉันกำลังมองหาสิ่งที่คล้ายกับ จากการวิจัยของฉันใช้ยันต์เริ่มต้นที่ระบุไว้ในssh man sshd_configแต่ฉันต้องแก้ปัญหาที่ฉันสามารถใช้ในสคริปต์และman sshd_configไม่ได้รายการข้อมูลเกี่ยวกับความยาวที่สำคัญ ฉันต้องการที่จะแก้ไขตัวเองที่นี่: คุณสามารถระบุในServerKeyBitssshd_config ฉันเดาว่าssh -vv localhost &> ssh_connection_specs.outจะส่งคืนข้อมูลที่ฉันต้องการ แต่ฉันไม่แน่ใจว่า ciphers ที่แสดงรายการเป็น ciphers ที่รองรับไคลเอนต์หรือเซิร์ฟเวอร์ นอกจากนี้ฉันไม่แน่ใจว่าจะเรียกใช้งานที่ไม่โต้ตอบในสคริปต์ได้อย่างไร มีวิธีที่สะดวกในการรับSSHข้อมูลการเชื่อมต่อหรือไม่
19 linux  ssh  audit 

5
Git ทำการตรวจสอบ
ฉันมีเซิร์ฟเวอร์คอมไพล์ที่ทำงานบน ssh และผู้ใช้แต่ละคนมีบัญชี unix ในระบบ เนื่องจากผู้ใช้สองคนมีสิทธิ์เข้าถึง repo ฉันจะแน่ใจได้อย่างไรว่าผู้ใช้คนใดที่กระทำการส่งข้อมูลเนื่องจากชื่อผู้ใช้และอีเมลการส่งและการควบคุมโดยไคลเอนต์ git ฉันกังวลว่าผู้ใช้อาจพยายามปลอมตัวเป็นผู้อื่นแม้ว่าพวกเขาจะมีสิทธิ์การอนุญาตเดียวกัน
16 git  security  audit 

3
การส่งบันทึกการตรวจสอบไปยังเซิร์ฟเวอร์ SYSLOG
ฉันใช้หลายระบบที่ใช้ RHEL ซึ่งใช้ฟังก์ชั่นการตรวจสอบภายในเคอร์เนล 2.6 เพื่อติดตามกิจกรรมของผู้ใช้และฉันจำเป็นต้องส่งบันทึกเหล่านี้ไปยังเซิร์ฟเวอร์ SYSLOG ส่วนกลางเพื่อการตรวจสอบและความสัมพันธ์ของเหตุการณ์ ใครรู้วิธีการบรรลุนี้
13 linux  syslog  redhat  audit 

7
คุณทำเอกสาร / ติดตามการอนุญาตของคุณอย่างไร
ฉันเป็นผู้ดูแลระบบ Windows ดังนั้นผู้ที่ทำงานร่วมกับ Windows จะมีประโยชน์มากที่สุด ความท้าทายหลักของฉัน ณ จุดนี้เป็นเพียงการแชร์ไฟล์ แต่เมื่อการใช้ SharePoint เพิ่มขึ้นจะทำให้ยากขึ้น ฉันได้รับการตั้งค่าไดเรกทอรีทั้งหมดและกลุ่มความปลอดภัยจำนวนมากที่ติดตั้งด้วยนโยบายที่จำเป็นต้องมีการเข้าถึงอย่างน้อยที่สุด ปัญหาของฉันคือติดตามทั้งหมดเพื่อเหตุผลด้านทรัพยากรบุคคลและการปฏิบัติตาม ผู้ใช้ A ต้องการสิทธิ์ในการใช้ทรัพยากร 1. เขาต้องได้รับการอนุมัติจากผู้จัดการของทรัพยากร 1 จากนั้นผู้จัดการของผู้จัดการก็ต้องอนุมัติการเข้าถึงนี้ด้วย เมื่อทุกอย่างเสร็จสิ้นฉันสามารถเปลี่ยนแปลงได้ ณ จุดนี้เราเพิ่งติดตามมันบนกระดาษ แต่มันเป็นภาระและมีแนวโน้มที่จะหลุดพ้นจากการปฏิบัติตามเมื่อผู้ใช้กถูกมอบหมายใหม่และไม่ควรเข้าถึงทรัพยากร 1 ในสถานการณ์อื่น ๆ อีกต่อไป ฉันรู้ว่าสิ่งที่ฉันกำลังมองหาควรมีอยู่แล้ว แต่ฉันไม่รู้จักที่จะมองหาและฉันกำลังติดต่อกับชุมชน แก้ไข: ขอบคุณสำหรับคำตอบ ฉันคิดว่าพวกเขาสัมผัสด้านเทคนิคและหวังว่าคำถามของฉันจะไม่เป็นหัวข้อ ฉันควรทำให้ตัวเองชัดเจนขึ้นเกี่ยวกับเป้าหมายของฉัน คุณใช้ระบบใดในการแสดงผู้ตรวจสอบว่าในวันที่ผู้ใช้ X มีสิทธิ์เพิ่ม / ลบและได้รับการอนุมัติโดยผู้จัดการ Y ฉันมีระบบการจองตั๋วพื้นฐานในสถานที่ในขณะนี้ แต่ฉันไม่เห็นว่ามันมอบสิ่งที่ฉันต้องการในรูปแบบที่เข้าใจง่าย ในใจของฉันฉันนึกภาพบางอย่างที่จะมีรายงานเกี่ยวกับผู้ใช้กซึ่งจะแสดงการเปลี่ยนแปลงทั้งหมดที่ทำกับสิทธิ์ของพวกเขา นึกคิดสิ่งที่เชื่อมโยงไปยัง Active Directory จะเหมาะ แต่ ณ จุดนี้ฉันหวังว่าจะพบสิ่งพื้นฐานเพิ่มเติม …

8
ฉันจะตรวจสอบประเภทและความเร็วของคอมพิวเตอร์ระยะไกลได้อย่างไร
ฉันใช้เครือข่ายองค์กร Windows 2003/2008 ที่มีผู้ใช้ 100 คน ฉันได้รับมอบหมายให้เพิ่ม RAM ในเวิร์กสเตชันผู้ใช้ปลายทางทั้งหมด ปัญหาคือเรามีส่วนผสมของคอมพิวเตอร์ที่แตกต่างกันในสภาพแวดล้อมของเรา บางอันคือ Dell, HP บางตัวและเวิร์คสเตชั่นบางตัวที่เราสร้างขึ้นใหม่ทั้งหมด จำเป็นต้องพูดเครื่องเหล่านี้ทั้งหมดไม่แชร์ประเภทหรือความเร็วหน่วยความจำเท่ากัน ฉันรู้ว่าฉันสามารถไปที่คอมพิวเตอร์หนึ่งใน 100 เครื่องเหล่านี้ทีละตัวเพื่อค้นหาข้อมูลหน่วยความจำ แต่ฉันอยากหาวิธีแก้ปัญหาที่ประหยัดค่าใช้จ่ายน้อยลงและสง่างามยิ่งขึ้น มีวิธีสำหรับฉันในการตรวจสอบสินค้าคงคลังจากระยะไกล / ตรวจสอบเครื่องเหล่านี้เพื่อค้นหาประเภทหน่วยความจำเฉพาะ (SDRAM, DDR, DDR2, ฯลฯ ) ความเร็วและการกำหนดค่าสล็อตหรือไม่ ขอบคุณความช่วยเหลือใด ๆ ที่ชื่นชมอย่างมาก
12 hardware  memory  audit 

4
ฉันจะตรวจสอบไฟล์เพื่อดูว่าใครลบไฟล์ได้อย่างไร
ในหนึ่งในเซิร์ฟเวอร์ของเราเรามีไฟล์ที่ถูกลบอย่างลึกลับ สิ่งที่ฉันต้องการจะทำคือให้โปรแกรมดูไฟล์นี้และแจ้งให้ฉันทราบว่าจะถูกลบเมื่อใด / อย่างไร / โดยใคร เรามีไฟล์สำรองข้อมูลที่เป็นปัญหาดังนั้นจึงไม่ใช่ปัญหาที่จะนำกลับมาใช้อีกต่อไป แต่จะส่งผลให้เว็บไซต์ของเราหยุดทำงาน มีซอฟต์แวร์ที่ทำสิ่งนี้หรือไม่? ฟรีหรือเปล่า ระบบปฏิบัติการคือ Windows Server 2003 SP2 32 บิต

2
เหตุการณ์ 4625 ตรวจสอบความล้มเหลว NULL SID ล้มเหลวในการเข้าสู่ระบบเครือข่าย
ใน 3 ระบบแยกกันเหตุการณ์ต่อไปนี้จะถูกบันทึกหลายครั้ง (ระหว่าง 30 ถึง 4,000 ครั้งต่อวันขึ้นอยู่กับระบบ) บนเซิร์ฟเวอร์โดเมนคอนโทรลเลอร์: An account failed to log on. Subject: Security ID: SYSTEM Account Name: %domainControllerHostname%$ Account Domain: %NetBIOSDomainName% Logon ID: 0x3E7 Logon Type: 3 Account For Which Logon Failed: Security ID: NULL SID Account Name: Account Domain: Failure Information: Failure Reason: Unknown user …

4
การตรวจสอบไฟล์ใน Linux: วิธีดูทรีไดเรกทอรีสำหรับการลบ?
ฉันมีสคริปท์ฟอรัมอยู่บนเซิร์ฟเวอร์และไฟล์แนบขนาดเล็กเริ่มหลงทาง ฉันต้องการค้นหาสิ่งที่กำลังลบและในเวลาใด ฉันจะตั้งค่า Linux auditd (auditctl) เพื่อดูแผนผังไดเรกทอรี (สิ่งที่แนบมาจะถูกเก็บไว้ในแผนผังไดเรกทอรีหลายระดับ) เพื่อดูการลบไฟล์ที่นั่นได้อย่างไร ฉันควรใช้เครื่องมืออื่นสำหรับสิ่งนี้ได้ไหม
9 linux  centos  audit  auditd 
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.