Stiamo passando dalla password di root condivisa all'utilizzo di sudo. Come posso controllare l'utilizzo di sudo?

8

Quando sono entrato a bordo, tutte le nostre SA dovevano memorizzare la password di root nei sistemi. Sentivo che ciò era ingombrante (quando qualcuno si separava dalla società, dovevamo toccare tutti i server e cambiare la password) e insicuro.

Finalmente ho avuto abbastanza pull per spingere gli account personali con sudoaccesso. Voglio avere una transizione graduale, quindi questo è il mio piano iniziale:

  1. Consentire alle SA di eseguire comandi "approvati" senza immettere password.
  2. Ogni altro comando richiederà la password ogni volta che lo usi sudo. Controllerò questo comando e li definirò "approvati" se ritenuto necessario o impedirò che vengano eseguiti se rappresentano un rischio per la sicurezza.

Le nostre specifiche utente si presentano così:

%sysadmins      ALL =  PASSWD: ALL, NOPASSWD: SERVICES, FILE_READING, !/bin/su

Domanda: Come posso sudocontrollare (preferibilmente via e-mail ma i registri farebbero) quando PASSWDviene eseguito un comando configurato con ?

linux  security  sudo 
Belmin Fernandez
fonte
È possibile prendere in considerazione la creazione di rapporti di registro centralizzati e l'utilizzo di uno strumento come Logstash o Splunk. Semplifica il trapping di questi eventi e centralizza l'aspetto degli avvisi / audit. Vale la pena farlo se si dispone di un numero crescente di endpoint da monitorare.
jeffatrackaid,

Risposte:

11

Ogni volta che sudo viene invocato, registra il comando eseguito su syslog, quindi consiglierei di installare logwatch. Per impostazione predefinita, viene fornito con filtri / aggregatori per l'analisi delle voci sudo e può inviare via e-mail i report giornalieri.

Potrebbe essere necessario scrivere un filtro logwatch personalizzato per distinguere tra i due diversi set di comandi.

Se è necessaria la notifica istantanea dei comandi sudo, è possibile utilizzare il modulo di output della posta con rsyslog. Dovrai applicare i filtri in modo che solo i messaggi sudo vengano inviati a questo modulo, per non svegliarti la mattina con 10k messaggi nella posta in arrivo.

EEAA
fonte
per ulteriori auditing, dai un'occhiata anche a: linux.die.net/man/8/auditd
JMW,
0

Come ha detto ErikA, sudo registrerà già tutto ciò che viene eseguito. Puoi anche installare Splunk e (se utilizzi la versione a pagamento) avere un avviso che ti invia un'email ogni volta che vede un messaggio sudo. Questo da solo probabilmente non vale la licenza, ma se ne hai già uno o ci stai pensando, questo sarebbe facilmente risolvibile.

Bill Weiss
fonte
0

In genere tutti questi eventi vengono registrati in "/var/log/auth.log"

Shri
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.