Turinys
Kad galėtume stebėti ir valdyti vartotojus serveriuose, žinome, kad tai labai sudėtinga užduotis dėl bendrų naudotojų ir daugelio kitų priežasčių, pvz., Daugelio komandų ar žurnalų vykdymo būdų arba priklausomai nuo prieigos lygio, galite turėti leidimus, kad pats vartotojas gauna ištrynimą, kuris netgi gali įkelti ar sukurti dvejetainius failus, o modifikuoti failai ar modifikuoti skambučiai nėra aiškiai parodyti.A galimybė šiek tiek kontroliuoti, turime „snoopylogger“, kuris, kaip žinome, yra įtrauktas į daugelį platinimų, ir kad tik biblioteka bus atsakinga už komandų saugojimą ir jas vykdantį vartotoją syslogd.
Norėdami įdiegti „Snoopylogger“, atsisiųsime jį iš terminalo
wget http://downloads.sourceforge.net/project/snoopylogger/snoopy-1.8.0.tar.gz?r=&ts=1322946864&use_mirror=nchc
Išpakuokite failą norimame kataloge
tar xf snoopy-1.8.0.tar.gz
Mes pasiekiame neišpakuotą katalogą
cd snoopy-1.8.0
Tada turėsime jį sukonfigūruoti ir pakeisti kai kuriuos parametrus, pasiekdami failą snoopy.h
nano snoopy.h
Failo viduje nustatysime šiuos parametrus
#define SNOOPY_ROOT_ONLY 1 #define SNOOPY_MAX_ARG_LENGTH 12288
./konfigūruoti
Tada surenkame, kad ją įdiegtume naudodami šias komandas
padaryti ir įdiegti
Mes pradedame programą naudodami šią komandą
padaryti įjungtą
Tada turime nustatyti, kad „snoopy“ būtų paleistas automatiškai, pridedant naują eilutę /etc/ld.so.preload
Galiausiai rekomenduojama iš naujo paleisti operacinę sistemą ir su ja ji turėtų pradėti veikti tinkamai. Surinkti žurnalai bus išsaugoti maršrute:
- / var / log / message
- Arba taip pat gali būti / var / log / auth ir / var / log / secure
Norėdami pamatyti užregistruotus žurnalus, naudojame šią komandą
uodega /var/log/auth.log
Pavyzdžiui, paleidžiant ls komanda Iš terminalo su pagrindiniu vartotoju komanda „ls“ failų sąrašui generuoja šį įrašą.
Gruodžio 6 d. 15:25:12 centos snoopy [13845]: [uid: 0 sid: 13833 tty: / dev / pts / 2 cwd: / root failo pavadinimas: / bin / ls]: ls
Kas yra Sudosas?„Sudosh“ yra įrankis, naudojamas visų terminale vykdomų komandų sesijoms įrašyti, tarsi tai būtų vaizdo įrašas.
Sudosh skirtas veikti Debian distribucijose kai vartotojui reikia administratoriaus teisių. Kai jis bus įvykdytas, jis saugo duomenis dviejuose žurnalo failuose, viename - komandų, o kitame - kartų. Tradicinis komandų žurnalo apėjimo būdas yra programų, leidžiančių vykdyti komandas, naudojimas. Pavyzdžiui, atidaromas nano redaktorius ir iš ten įvedamos instrukcijos, tokios kaip cat / etc / passwd, kad būtų galima pasiekti sistemos raktus.
Ši technika neįmanoma naudojant „sudosh“, nes žurnalas parodys, kaip atidaromas „nano“ ir kaip vykdomos komandos. Norėdami jį įdiegti, jis atsisiųstas ir sukompiliuotas. Žurnalo failai saugomi:
/ var / log / sudosh /
Norėdami peržiūrėti vaizdo įrašus, kurie yra konvertuojami teksto failai, naudokite komandą sudosh-replay po to - failo ID, be šio argumento bus išvardyti visi turimi.
Galutinė išvadaŠios dvi priemonės leis mums šiek tiek kontroliuoti, ką atlieka mūsų vartotojai, ir taip geriau valdyti serverio saugumą.Ar jums patiko ir padėjo ši pamoka?Galite apdovanoti autorių paspausdami šį mygtuką, kad suteiktumėte jam teigiamą tašką
