Kami beralih dari kata sandi root bersama ke menggunakan sudo. Bagaimana cara mengaudit penggunaan sudo?

8

Ketika saya datang, semua SA kami harus menghafal kata sandi root ke sistem. Saya merasa ini rumit (ketika seseorang terpisah dari perusahaan, kami harus menyentuh setiap server dan mengganti kata sandi) dan merasa tidak aman.

Akhirnya cukup menarik untuk mendorong akun pribadi dengan sudoakses. Saya ingin memiliki transisi yang lancar jadi ini adalah rencana awal saya:

  1. Izinkan SA untuk melakukan perintah "yang disetujui" tanpa memasukkan kata sandi.
  2. Setiap perintah lain akan membutuhkan kata sandi setiap kali Anda menggunakan sudo. Saya akan mengaudit perintah ini dan mendefinisikannya sebagai "disetujui" jika dianggap perlu atau mencegah mereka dieksekusi jika mereka menimbulkan risiko keamanan.

Spesifikasi pengguna kami terlihat seperti ini:

%sysadmins      ALL =  PASSWD: ALL, NOPASSWD: SERVICES, FILE_READING, !/bin/su

Pertanyaan: Bagaimana cara saya melakukan sudoaudit (lebih disukai melalui e-mail tetapi log akan dilakukan) ketika perintah yang dikonfigurasi dengan PASSWDdijalankan?

Belmin Fernandez
sumber
Anda mungkin ingin mempertimbangkan pelaporan log terpusat dan menggunakan alat seperti Logstash atau Splunk. Membuat menjebak peristiwa ini lebih mudah dan memusatkan aspek waspada / audit. Layak dilakukan jika Anda memiliki semakin banyak titik akhir untuk dipantau.
jeffatrackaid

Jawaban:

11

Setiap kali sudo dipanggil, ia mencatat perintah yang dieksekusi ke syslog, jadi saya sarankan hanya menginstal logwatch. Secara default, ia datang dengan filter / agregator untuk memilah-milah entri sudo, dan itu dapat mengirim email kepada Anda laporan harian.

Anda mungkin perlu menulis filter jam tangan khusus untuk membedakan antara dua set perintah yang berbeda.

Jika Anda memerlukan pemberitahuan instan tentang perintah sudo, Anda dapat menggunakan modul keluaran surat dengan rsyslog. Anda perlu menerapkan filter sehingga hanya pesan sudo yang dikirim ke modul ini, jangan sampai Anda bangun di pagi hari dengan 10k pesan di kotak masuk Anda.

EEAA
sumber
untuk audit lebih lanjut, lihat juga: linux.die.net/man/8/auditd
JMW
0

Seperti yang dikatakan ErikA, sudo sudah akan mencatat semua yang dijalankan. Anda juga dapat menginstal Splunk dan (jika menggunakan versi berbayar) ada peringatan yang mengirimi Anda email setiap kali ada pesan sudo. Ini saja mungkin tidak sebanding dengan lisensi, tetapi jika Anda sudah memilikinya, atau sudah memikirkannya, ini akan mudah diatasi.

Bill Weiss
sumber
0

Biasanya semua peristiwa ini masuk ke "/var/log/auth.log"

Shri
sumber