Historias
Slashboxes
Comentarios
 

¿Cómo auditáis la actividad en Linux?

editada por nettizen el Jueves, 18 Julio de 2013, 07:52h   Printer-friendly   Email story
desde el dept. script-typescript-script-typescript-script
Un pobrecito hablador nos cuenta: «Me han preguntado cómo auditar la actividad en una máquina virtual Debian 7 proporcionada por terceros en la cual se comparte la clave de root con dichos terceros. La opción del 'hombre pobre' es ver los comandos en el .bash_history.»
Y además añadir en el ~/.bashrc

export HISTFILE=.bash_history.$(date +"%F_%T")
export HISTTIMEFORMAT=%F %T
shopt -s histappend # append to the history file, don't overwrite it
# for setting history length see HISTSIZE and HISTFILESIZE in bash(1)
export HISTSIZE=
export HISTFILESIZE=

# quitando cualquier entrada del estilo de
# HISTCONTROL=ignoredups
# HISTCONTROL=erasedups
# HISTCONTROL=ignorespace
# HISTSIZE=0
# HISTIGNORE="los comandos a excluir"
Aunque es una solución 'palabra de honor' que pierde mucha información.

Otra opción es 'script' cada vez que se entra en la línea de comando y 'scriptreplay' para revisar lo que se hizo (por ejemplo) (reproductor en javascript). Como curiosidad, hay otras herramientas con las que incluso puedes publicar tus sesiones en la web: http://www.playterm.org/ , http://shelr.tv , http://ascii.io/.

Esta opción pierde menos datos, pero sigue siendo una solución 'palabra de honor' ya que es bastante sencillo saltársela.

Por ello os pregunto ¿existe algo mejor? ¿Algo que tengáis en producción o hayáis probado? ¿Cuál es la opción más recomendable: 'keyloggers', guardar un listado de todos los procesos lanzados y sus opciones, lo anterior añadiendo 'syslog remoto'?

Y si el volumen de datos es elevado (listado de procesos concurrentes) ¿Cómo se navega a través de ellos para reconstruir lo que sucedió?

Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
  • No es lo que preguntas pero...

    (Puntos:2, Inspirado)
    por pobrecito hablador el Jueves, 18 Julio de 2013, 08:17h (#1342958)
    Sinceramente, una vez que la clave del root está compartida entre varios, de poco (o de nada) sirve auditar. Lo que uno instale otro lo podrá desactivar sin dejar rastro. Las cuentas de usuario y los distintos niveles de privilegios se inventaron para algo.
    [ Responder ]
  • por pobrecito hablador el Jueves, 18 Julio de 2013, 08:46h (#1342960)
    Una vez vi un profe de linux que modifico el bash para enviar al log todos los comandos que se hacian en la maquina. A su vez, configuraba el syslog para enviar el los de las maquinas del aula a su servidor y asi veia lo que hacian sus alumnos. De paso si ves que intentan saltarse la protección ya tienes el registro de ello y sabes que no puedes confiar en esa gente
    [ Responder ]
  • SUDO y amigos

    (Puntos:1, Informativo)
    por pobrecito hablador el Jueves, 18 Julio de 2013, 08:55h (#1342962)
    Yo te diría que no compartas root (casi siempre es mala idea), y que utilices SUDO.

    [modo publicidad on]

    Desde la versión 1.8, sudo permite utilizar plugins.

    La empresa Quest (ahora Dell) tiene un producto que mediante dos plugins de sudo permite auditar todo lo que que pasa bajo sudo: permite tener un repositorio central (una especie de sudoers único) y también tienes keystroke logging (con replay y todo).

    La versión freeware te permite hasta 10 servidores.

    El producto en cuestión se llama Quest One Privilege Manager for Sudo.

    [/modo publicidad off]

    [ Responder ]
  • ttysnoop

    (Puntos:1, Informativo)
    por pobrecito hablador el Jueves, 18 Julio de 2013, 09:07h (#1342963)
    ttysnoop
    [ Responder ]
  • snoopy

    (Puntos:1, Informativo)
    por pobrecito hablador el Jueves, 18 Julio de 2013, 12:06h (#1342987)
    [ Responder ]
  • por orfeo (5929) el Jueves, 18 Julio de 2013, 15:00h (#1343008)
    ( http://barrapunto.com/~orfeo/journal/ | Última bitácora: Miércoles, 11 Enero de 2012, 17:48h )
    Compartir, cuando hablamos de la clave de root, no es bueno.

    Para "paliar" posibles efectos colaterales empezaría por imponer un política de "sudo obligatorio", para que por lo menos las tareas que se realicen como root queden ligeramente auditadas.

    Cuando me ha tocado "prestar" una clave de root a terceros, he intentado utilizar rootsh [github.com], solución que me ha valido para muchos casos.

    snoopy [github.com] no lo conocía, pero para sistemas linux parece una solución completa, que parece hay que implementar con cuidado porque la cantidad de losgs que puede generar en según que sistemas.

    La solución buena pasa por convencer al responsable de turno de que la clave de root, y toda la gestión derivada de la misma, debe de estar circunscrita a un grupo en concreto, siendo todos los demás usuarios de éstos. Esto que puede parecer de lo más lógico topa una y otra vez con incompetentes de todo tipo, ya sea responsables que no entienden ésta política, como usuarios que "quieren todo", porque no saben ni la tarea que quieren realizar.
    [ Responder ]
  • SElinux

    (Puntos:1)
    por caligari_spain (34373) el Viernes, 19 Julio de 2013, 07:09h (#1343054)
    SElinux en modo permisivo te puede reportar un montón de información de cosas ejecutadas en sitios que no se deben o de puertos abiertos por programas no registrados. Si lo configuras con rsyslog para otra máquina tendrás bastante información de auditoría. Y como siempre: uno no puede responsabilizarse de máquinas donde el acceso root es compartido. Tal vez puedas llegar a un acuerdo para darle acceso por sudo a ciertos comandos que tiene que ejecutarlos root.
    [ Responder ]
  • por kilian (3090) el Viernes, 19 Julio de 2013, 20:45h (#1343095)
    Echale un vistazo al paquete Acct (en concreto al ejecutable "lastcomm"), yo lo utilizo a menudo y creo que es justo lo que buscas:

    http://packages.debian.org/wheezy/acct [debian.org]

    Tal y como ya te han comentado, el uso de "acct" para auditar usuarios con privilegios de administración implica la necesidad de exportar los log fuera del control de dichos usuarios.
    [ Responder ]
  • Re:¿Un caso de neolinguismo?

    (Puntos:1, Inspirado)
    por pobrecito hablador el Jueves, 18 Julio de 2013, 10:06h (#1342971)
    Claro, ahora va a ser que ejecutar ls y ps es algo íntimo y personal

    -No es lo que ejecutas, es cómo lo ejecutas....
  • Re:¿Un caso de neolinguismo?

    (Puntos:2, Informativo)
    por mariopr25 (46464) el Jueves, 18 Julio de 2013, 15:02h (#1343009)
    No, no es lo mismo un entorno profesional que un entorno privado. En un entorno profesional es posible vigilar que los empleados actúen correctamente y utilicen las herramientas profesionales para el fin al que las destina la empresa. En un servidor de la empresa los trabajadores no tienen por qué realizar actividades privadas, deben realizar únicamente actividades para la empresa que no hay ningún problema en que sean conocidas por la empresa.

    Es posible que el empresario ponga medios para comprobar el correcto uso de los medios de la empresa (en este caso el servidor) por parte del trabajador, y eso es legal (viene amparado por el Estatuto del trabajador): http://blogs.periodistadigital.com/audea-seguridad [periodistadigital.com] -de-la-informacion/2012/10/15/utilizacion-de-equip os-informaticos-correo-electronico-e-internet-y-co ntrol-empresarial/ [periodistadigital.com]).

    Extraigo la parte fundamental del contenido del artículo que enlazo:
    "En definitiva, el uso de equipos informáticos o cualesquiera otros dispositivos que proporcionase la empresa y que pudieran almacenar la información profesional (por ejemplo pen drives, móviles, smartphones, pda), correo electrónico o internet se considerarán herramientas de trabajo susceptibles del control por parte del empresario. No obstante, en aras de la legalidad y buena fe el empresario deberá establecer previamente las reglas de uso, con aplicación de prohibiciones absolutas o parciales, e informar a los trabajadores de que va existir control empresarial de estos dispositivos. Además, se debería informar sobre las formas de supervisión y medidas que han de adoptarse para garantizar la efectiva y correcta utilización laboral de medios facilitados."

    Osea, que el servidor, al ser una herramienta de trabajo de la empresa es susceptible de ser controlada por esta (podría incluso controlar los correos de la empresa, los móviles, etc), previa comunicación a los empleados de las formas de utilizar correctamente el mismo y de los medios que se van a tomar para controlar su uso.
  • Si alguna vez ves a alguien trabajando en una sesión gráfica como root, échate a temblar, y huye de esa persona como la peste.
  • 5 respuestas por debajo de tu umbral de lectura actual.