Estamos fazendo a transição da senha raiz compartilhada para o uso do sudo. Como faço para auditar o uso do sudo?

7

Quando cheguei a bordo, todas as nossas SAs tiveram que memorizar a senha raiz dos sistemas. Eu senti que isso era complicado (quando alguém se separava da empresa, tínhamos que tocar em todos os servidores e alterar a senha) e inseguro.

Finalmente recebi o suficiente para empurrar contas pessoais com sudo access. Eu quero ter uma transição suave, então este é o meu plano inicial:

  1. Permitir que as SAs executem comandos "aprovados" sem inserir senhas.
  2. Todos os outros comandos exigirão senha toda vez que você usar sudo . Eu irei auditar esse comando e defini-los como "aprovados", se julgar necessário, ou impedir que eles sejam executados, se representarem um risco de segurança.

Nossa especificação de usuário é assim:

%sysadmins      ALL =  PASSWD: ALL, NOPASSWD: SERVICES, FILE_READING, !/bin/su

Pergunta: Como faço para ter sudo audit (preferível via e-mail, mas os logs fariam) quando um comando configurado com PASSWD é executado?

    
por Belmin Fernandez 28.12.2011 / 06:54

3 respostas

11

Toda vez que o sudo é chamado, ele registra o comando executado no syslog, portanto, eu recomendaria apenas instalar o logwatch. Por padrão, ele vem com filtros / agregadores para analisar entradas de sudo e pode enviar relatórios por e-mail diariamente.

Você pode precisar escrever um filtro de logwatch personalizado para diferenciar seus dois conjuntos diferentes de comandos.

Se você precisar de notificação instantânea de comandos do sudo, poderá usar o módulo de saída de e-mail com o rsyslog. Você precisará aplicar filtros para que apenas mensagens sudo sejam enviadas para este módulo, para que você não acorde de manhã com 10k mensagens na sua caixa de entrada.

    
por 28.12.2011 / 06:57
0

Como ErikA disse, o sudo já registra tudo que é executado. Você também pode instalar o Splunk e (se estiver usando a versão paga) ter um alerta que envia e-mails sempre que ele vê uma mensagem sudo. Só isso provavelmente não vale a pena, mas se você já tem um, ou está pensando nisso, isso seria facilmente resolvido.

    
por 28.12.2011 / 07:36
0

Normalmente, todos esses eventos são registrados em "/var/log/auth.log"

    
por 28.12.2011 / 07:59