Мы переходим от общего пароля root к использованию sudo. Как мне проверить использование sudo?

8

Когда я пришел на борт, все наши SA должны были запомнить пароль root для систем. Я чувствовал, что это было громоздко (когда кто-то отделяется от компании, нам приходилось трогать каждый сервер и менять пароль) и небезопасно.

Наконец получил достаточно тяги, чтобы подтолкнуть личные учетные записи с sudoдоступом. Я хочу плавного перехода, так что это мой первоначальный план:

  1. Разрешить SA выполнять «утвержденные» команды без ввода паролей.
  2. Любая другая команда будет требовать пароль каждый раз, когда вы используете sudo. Я проверю эту команду и определю их как «одобренные», если сочту это необходимым, или буду препятствовать их выполнению, если они представляют угрозу безопасности.

Наши пользовательские спецификации выглядят так:

%sysadmins      ALL =  PASSWD: ALL, NOPASSWD: SERVICES, FILE_READING, !/bin/su

Вопрос: Как я могу провести sudoаудит (желательно по электронной почте, но в журналах), когда выполняется команда, настроенная с помощью PASSWD?

linux security sudo Бельмин Фернандес
источник
Возможно, вы захотите рассмотреть централизованные отчеты журнала и использование таких инструментов, как Logstash или Splunk. Упрощает отслеживание этих событий и централизует аспект оповещения / аудита. Стоит делать, если у вас есть растущее число конечных точек для мониторинга.
Jeffatrackaid

Ответы:

11

Каждый раз, когда вызывается sudo, он записывает выполненную команду в системный журнал, поэтому я бы рекомендовал просто установить logwatch. По умолчанию он поставляется с фильтрами / агрегаторами для анализа записей sudo и может отправлять вам ежедневные отчеты по электронной почте.

Возможно, вам придется написать собственный фильтр logwatch, чтобы различать два разных набора команд.

Если вам нужно мгновенное уведомление о командах sudo, вы можете использовать модуль вывода почты с rsyslog. Вам нужно будет применить фильтры, чтобы в этот модуль отправлялись только сообщения sudo, чтобы утром вы не проснулись с 10k-сообщениями в вашем почтовом ящике.

EEAA
источник
для дальнейшего аудита также взгляните на: linux.die.net/man/8/auditd
JMW
0

Как сказал ErikA, sudo уже будет регистрировать все, что запущено. Вы также можете установить Splunk и (если используете платную версию) иметь уведомление, которое отправляет вам электронное письмо всякий раз, когда он видит сообщение sudo. Это само по себе, вероятно, не стоит лицензии, но если у вас уже есть лицензия или вы об этом думаете, об этом легко позаботятся.

Билл Вайс
источник
0

Обычно все эти события регистрируются в "/var/log/auth.log"

Shri
источник