Como posso usar o ausearch para registrar o IP de um usuário quando ele modifica um arquivo por SSH?

0

Minha equipe entra em um servidor de desenvolvimento usando a mesma senha de root; nós não configuramos contas de usuário separadas.

Agora estou tentando criar um log de alterações de arquivo e quero distinguir entre autores diferentes, mas ausearch sempre retorna o nome do usuário (então "root" sempre), mesmo quando eu passar a regra name_format=numeric , que deveria expor o endereço IP em vez de "root".

    
por Guybrush Threepwood 26.01.2015 / 02:32

1 resposta

1

NOTA: Esta pergunta também foi solicitada pelo OP em outro local on-line. Esta é uma versão editada da minha resposta naquele outro local. A inadvisibilidade de múltiplos usuários logando diretamente como root já foi endereçada lá, e não precisa ser revisitada.

Pelo que entendi, você está perguntando como obter os logs de auditoria para mostrar de qual endereço IP cada ação registrada foi tirada. Sua frustração é que a maioria das linhas de auditoria não tem nem mesmo os campos hostname e addr , e os poucos que mais se parecem com isso:

node=192.168.33.9 type=USER_START msg=audit(1422241281.664:263): pid=5912 uid=0 auid=1001 ses=18 msg='op=PAM:session_open acct="root" exe="/usr/bin/sudo" hostname=? addr=? terminal=/dev/pts/4 [...]

i.e. com valores desconhecidos de hostname e addr .

O subsistema de auditoria do Linux não preenche automaticamente suas entradas com informações de nome de host / IP associadas; daemons como o sshd têm que explicitamente fornecê-los para auditoria de alguma forma (no caso do sshd, através de chamadas do PAM):

node=192.168.33.9 type=CRED_ACQ msg=audit(1422240837.085:202): pid=5441 uid=0 auid=501 ses=18 msg='op=PAM:setcred acct="ratb" exe="/usr/sbin/sshd" hostname=canton.local addr=192.168.33.36 terminal=ssh res=success'

Comandos em nível de usuário, como seu editor favorito, não o farão, já que eles não se importam de onde você vem.

Como todos estão fazendo login diretamente como o mesmo usuário, você precisará registrar números ses ("session") individuais das mensagens de auditoria USER_START que o sshd emite via PAM e correlacionar -los com os ses IDs das mensagens SYSCALL da atividade que você deseja acompanhar. Por exemplo, essa foi a trilha de auditoria de echo hi > tmp/testing.txt da mesma sessão SSH acima e, portanto, compartilha o mesmo ses ID (18):

node=192.168.33.9 type=PATH msg=audit(1422241924.835:341): item=1 name="tmp/testing.txt" inode=2631940 dev=08:22 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=CREATE
node=192.168.33.9 type=PATH msg=audit(1422241924.835:341): item=0 name="tmp/" inode=2621477 dev=08:22 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
node=192.168.33.9 type=CWD msg=audit(1422241924.835:341):  cwd="/root"
node=192.168.33.9 type=SYSCALL msg=audit(1422241924.835:341): arch=c000003e syscall=2 success=yes exit=3 a0=bc62a8 a1=241 a2=1b6 a3=10 items=2 ppid=5913 pid=5921 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts4 ses=18 comm="bash" exe="/bin/bash" key=(null)
    
por 26.01.2015 / 14:37