Como posso auditar as alterações feitas nos nossos servidores, roteadores, etc.?

Navegue suas respostas
5

Temos muitos servidores (executando o Windows e o Ubuntu) junto com uma combinação de roteadores Cisco e Juniper com um lado dos switches HP Procurve. Nós temos alguns sysadmins que gostam de fazer alterações nas configurações sem contar a ninguém ou documentá-lo em qualquer lugar. Você pode imaginar como isso pode explodir na sua cara.

Existe algum software lá fora que pode registrar e auditar alterações de configuração em dispositivos Windows, Linux e Cisco? Ou, se não houver software, talvez algumas políticas possam efetivamente impedir esse tipo de comportamento?

    
por zippy 22.06.2010 / 03:57

4 respostas

3

Deixe-me dar alguns comentários gratuitos sobre a aparente falta de controle em seu ambiente. Minhas desculpas pela situação; tente reinar os cowboys em:)

Definitivamente, olhe Rancid para suas necessidades de rede. Você pode monitorar as alterações nas configurações. A integração adicional permitirá que você automatize os backups após a detecção de alterações de configuração com base em mensagens do Syslog ou notificações de interceptação do SNMP.

Para o Linux, considere forçar que os administradores acessem hosts por meio de um portal de registro (como um salto SSH com ForceCommand que agrupa script(1) antes de se conectar a um host de destino). Ferramentas veneráveis como o Tripwire podem registrar alterações inadequadas feitas nos arquivos do sistema.

Para o Windows, confira o software bonito de ObserveIT , que pode fazer o monitoramento baseado em host de sessões interativas.

Dado que você parece já estar enfrentando algum problema, eu recomendo strongmente que você promova uma cultura de responsabilidade sobre isso (um controle / políticas "soft"). Alguns administradores se comportam como caubóis, mas certamente a maioria entende que não documentado. mudanças não anunciadas levam a problemas. Estabeleça janelas de trabalho, blackouts de produção, alterações de notificações, etc.

Trata-se simplesmente de práticas inteligentes, que eles e clientes irão apreciar; os admins porque eles serão capazes de descobrir quando eles se atirarem no pé com mais facilidade e os clientes porque eles se sentirão mais conscientes do que está acontecendo.

    
por 22.06.2010 / 07:11
1

Gerencie seus usuários sysadmins: Como Jeff disse , tente uma história ilustrativa:

At my last job we had X thousand users on Y hundred devices and Z dozen sites. Some bright spark decided to change the configs on all Y hundred devices and reboot them remotely to apply the configs.

1 day later, the config started failing. He ended up having to drive to every site to reset the devices using a serial cable and a laptop. He learnt his lesson and never did it again. Now he's a manager and makes sure his sysadmins don't repeat his mistakes.

Ou o que for adequado.

(A descrição acima é uma versão exagerada da minha própria experiência com uma atualização de firmware remota em um switch; tivemos que trazer o switch de volta do site e recarregá-lo novamente usando um cabo serial.)

    
por 22.06.2010 / 08:01
1

Tenho mais ou menos os mesmos requisitos e cheguei rapidamente a rançoso para acompanhar as alterações nos meus dispositivos de rede. Aproveitando a simplicidade, mas o poder do ranço, estive procurando o mesmo tipo de ferramenta para rastrear alterações de configuração em servidores Windows. Como essa ferramenta não existia, experimentei ranwinconf

Eu posso dizer que ele faz os trabalhos notificando-me pelo correio quando alguma parte importante foi modificada em um dos mais de 200 servidores Windows pelos quais sou responsável.

Espero que possa ser útil para outras pessoas também!

    
por 03.07.2012 / 00:58

Tags

Vários logins com pam_mount significam montagens múltiplas (redundantes) Classes & Define em Puppet