Auditoria de logons simultâneos no AIX

1

Estamos em um ambiente bancário e nosso sistema principal é baseado no AIX. Vários usuários estão efetuando login com o mesmo userID ao mesmo tempo usando o SSH. Eu sei que posso ver quem SSHed no sistema a partir do qual IP, mas a preocupação é que, como podemos auditar o que cada usuário com este ID de usuário padrão fez durante suas sessões.

O problema é que esse sistema central só funciona dessa maneira mesmo depois que entramos em contato com o fornecedor. É muito crítico auditar o que cada usuário fez com este userID enquanto eles estão logados ao mesmo tempo. Existe uma maneira de diferenciar entre IDs de sessão para os usuários?

    
por Abdullah Alm 10.11.2015 / 17:41

3 respostas

2

Multiple users are logging in with the same userID at the same time using SSH.

Honestamente, sua correção mais simples provavelmente será organizar para que cada pessoa faça o login no SEU PRÓPRIO USERID e faça seu trabalho dessa maneira. Se eles precisarem executar um aplicativo como um usuário específico, dê a eles a capacidade de executar o comando sobre sudo como em:

sudo -u <groupusername> /path/to/command. 

Isto irá registrar a ação no log do sistema, se o sudo estiver configurado corretamente, e o sudo tiver algum registro razoavelmente bom e estendido disponível.

Você pode obter realmente granular com o sudo. É muito útil para isso.

Se nada mais você pode configurar o fluxo de trabalho de tal forma que as pessoas ssh no servidor, em seguida, sudo su - o que lhe dará uma melhor chance de rastreá-los ao longo do tempo.

O problema com a configuração do arquivo de histórico é que ele pode ser banido por um usuário, já que é de propriedade dele.

A partir de uma breve leitura da auditoria do AIX, parece que irá auditar por usuário e não por login. No entanto ICBW sobre isso. Eu ainda o ligaria.

Então, na minha opinião (e enquanto eu não me vender como especialista em segurança , eu tenho um CISSP e mantenho a Educação Continuada relacionada a essa certificação) você precisa entrar em contato com seu departamento de segurança e determinar quais padrões de conformidade, se houver algum, precisam ser atendidos (nos EUA eu esperaria que um banco tivesse que atender pelo menos Dodd-Frank, PCI e SoX), e o que precisa ser feito para trazer o seu sistema em conformidade com isso.

Eu, então, levaria essa lista para a gerência e explicaria que isso não era realmente opcional no ambiente de hoje e que poderia haver multas / taxas bastante caras se você não estivesse disposto a fazer rapé e decidir como ir adiante. .

Nesse meio tempo, eu transformaria todo o meu registro em 11, e começaria a rastreá-lo procurando maneiras de correlacionar o que ele está me dizendo. No AIX, especialmente com a auditoria ativada, você pode ser capaz de comparar eventos em vários arquivos de log.

Como um exemplo trivial, há muito tempo recebi uma chamada do Suporte Técnico para saber por que um determinado servidor tinha "travado". Passei cerca de 30 segundos vasculhando os logs quando notei que no T - 5 alguém tinha logado como "root" (má idéia de ter que abrir) e, em seguida, o comando de desligamento foi emitido.

"Oh. Deve ter sido meu parceiro. Não importa." "Posso fechar o caso?" "Sim".

O problema com isto é que você deve acabar em um caso criminal, onde suas correlações são parte da evidência ... Oh Boy. Eu não gostaria de estar nessa posição.

    
por 10.11.2015 / 21:06
0

Eu tenho duas sugestões:

  1. Configure arquivos de histórico separados com algo como:

    HISTFILE = $ HOME / .sh_history. $$

ou alguma variação usando $ SSH_CONNECTION ou outras variáveis ambientais.

  1. Ativar auditoria do AIX .

Se for crítico o suficiente, você pode conectar uma ferramenta de terceiros ao sistema de auditoria para descarregar as execuções de comando em um sistema remoto. Caso contrário, um administrador local poderia desfazer qualquer uma dessas sugestões.

    
por 10.11.2015 / 18:38
0

Eu sugiro os seguintes benefícios

link www.redbooks.ibm.com/redbooks/pdfs/sg246020.pdf (Redbook)

Você também pode configurar o IBM The Audit Subsystem. link

Você também pode especificar seu arquivo de histórico no / etc / profile com algumas linhas como estas: HISTSIZE = 10000 mkdir -p $ HOME / .history HISTFILE = $ HOME / .history / .history. $ (Data +% Y% m% d.% H% M% S). $$ Isso manteria 10.000 eventos em um arquivo de histórico com nome exclusivo, com a data em que eles foram incluídos no nome do arquivo.

Espero que isso te atinja.

Cumprimentos. AL

    
por 09.02.2016 / 18:19