Eu instalei a auditoria de pacotes na minha máquina linux red-hat 6.x para ver o recado de cada usuário que loga na minha máquina linux
yum install audit
instalação do kit de: link
após a instalação e reinicie o serviço de auditoria como
service auditd start
Eu sigo o arquivo audir.log para ver os registros dos usuários
tail -f /var/log/audit/audit.log
mas a partir deste log eu vejo apenas o IP do usuário e quando ele logar na minha máquina linux
os registros do comando linux que o usuário perfromed não aparece no audit.log
pode alguém aconselhar porque não vemos o histórico do comando linux em audit.log ?
exemplo de audit.log
type=USER_START msg=audit(1422876162.936:152): user pid=28114 uid=0 auid=0 ses=74236 msg='op=PAM:session_open acct="root" exe="/usr/sbin/sshd" hostname=10.1.113.35 addr=10.1.113.35 terminal=ssh res=s'
type=USER_LOGIN msg=audit(1422876162.940:153): user pid=28116 uid=0 auid=0 ses=74236 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=10.1.113.35 addr=10.1.113.35 terminal=/dev/pts/1 res=success'
type=USER_START msg=audit(1422876162.940:154): user pid=28116 uid=0 auid=0 ses=74236 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=10.1.113.35 addr=10.1.113.35 terminal=/dev/pts/1 res=success'
type=CRYPTO_KEY_USER msg=audit(1422876162.940:155): user pid=28116 uid=0 auid=0 ses=74236 msg='op=destroy kind=server fp=99:c8:56:79:64:17:0b:67:b5:6c:e9:36:22:8a:b1:88 direction=? spid=28116 suid=0 '
type=CRYPTO_KEY_USER msg=audit(1422876162.940:156): user pid=28116 uid=0 auid=0 ses=74236 msg='op=destroy kind=server fp=6f:b9:bf:4f:84:1f:58:e5:d2:1c:94:1f:11:8e:26:61 direction=? spid=28116 suid=0 '
type=CRED_REFR msg=audit(1422876162.940:157): user pid=28116 uid=0 auid=0 ses=74236 msg='op=PAM:setcred acct="root" exe="/usr/sbin/sshd" hostname=10.1.113.35 addr=10.1.113.35 terminal=ssh res=success'
Talvez seja necessário mais esforço do que usar algumas ferramentas externas, mas last ou utmpdump fornecem todas as informações de login remoto necessárias usando esses arquivos (leia link para mais informações sobre esses arquivos):
/var/log/wtmp
/var/log/btmp
/var/run/utmp
e como foi dito acima, você pode manipular a gravação do histórico de comandos do usuário-shell por conta própria.
Os dados de login já não estão disponíveis em auth.log sem pacotes adicionais?
command-history é a questão do shell, para registrá-lo, você deve corrigir o shell (todos os shells no sistema) com um recurso que registra cada linha de entrada (mas se o usuário realmente quiser escapar do logging, ele sempre pode encontrar um caminho). Isso porque cada aplicativo (não apenas um shell) pode bifurcar e executar qualquer comando que desejar. Portanto, a única maneira infalível é registrar cada processo iniciado em seu sistema (veja o segundo link abaixo). No entanto, isso ainda exclui tudo o que é feito pelo shell que não requer um novo processo a ser gerado (todos os shell builtins) - alguém poderia, em princípio, chamar echo "malicious command" | bash e somente bash seria visível como linha de comando. Portanto, tanto o log do shell quanto o log do exec são provavelmente o caminho a ser seguido.
Links relevantes:
Você também pode usar a contabilidade de processo. Procure por serviço psacct no Fedora e habilite-o.
Então você pode ver o que o usuário fez / está fazendo executando coisas como:
sa (list of all commands)
lastcomm bash (who ran bash)
lastcomm vpathak (what was run by vpathak)
Isso, junto com algum histórico de shell, deve dar a você um bom esboço.
Para entender melhor de onde os logins vêm e quais teclas são usadas, você também pode ver uma investigação detalhada da tentativa de intrusão passo a passo em