在 linux 中創建了哪些審計日誌文件來跟踪使用者活動?
我們網路上的一台機器正在消耗大量的 Internet 頻寬。但是沒有使用者在使用該系統。
當我使用 SSH 連接到伺服器並執行
who它時,它顯示使用者從我不認識的 IP 登錄。我沒有在系統上創建這個使用者。並且/etc/sudoers使用者擁有無限的root訪問權限:test11 ALL = NOPASSWD: ALL我終止了會話並更改了 root 密碼。我也刪除了使用者。
現在我可能很安全,但需要分析為什麼會發生這種情況以及使用者進行了哪些活動。
如何找到有關此使用者所做操作的更多資訊?哪些系統日誌文件可以幫助我獲取有關 IP、持續時間、執行命令、訪問的 Internet 站點等的更多資訊?
注意:這是 CentOS 6 系統的預設安裝。我沒有安裝任何安全或審計軟體。我也沒有更改任何系統配置。我需要知道我可以從預設安裝中提取什麼。
由於您的系統已被入侵,因此您從該系統獲得的任何資訊都不可信。只有立即發送到外部系統的日誌才是可信的(例如實時遠端系統日誌)。這意味著如果你有一些夜間日誌輪換到 NFS 共享,你不能信任它。
但是,使用者可能沒有費心掩蓋他/她的踪跡,並且您可能在系統上仍然可以使用該資訊。
不幸的是,在預設的 Centos/RHEL 安裝中,日誌記錄非常少。你基本上只能在
/var/log. 您應該探勘哪個日誌取決於該盒子上執行的服務。但是,我將從 ssh 日誌開始。之後查看以 root 身份執行或有權sudo訪問的任何服務的日誌。如果幸運的話,該
test11使用者可能有一個主目錄,其中.bash_history包含一個包含所做操作歷史記錄的文件。此外,由於系統已被破壞到未知使用者能夠獲得 root 訪問權限的程度,因此必須從頭開始重建系統。您不能重複使用系統中的任何內容。將每個文件都視為已洩露。我還建議不要使用備份,因為您不知道系統多久前被入侵了。
一旦使用者獲得 root 訪問權限,就可以安裝無限數量的後門。如果我是訪問您系統的人,那麼簡單地刪除該
test11使用者並更改root密碼甚至不會減慢我的速度。將來,您可以做一些事情。
遠端記錄
如前所述,只有實時遠端日誌記錄可以被信任不被篡改。確保你有這個。
審計
您應該安裝和使用 2 個實用程序來監視和審核系統的關鍵組件。這些是auditd和ossec。
這 2 個實用程序的操作方式不同,但目標相同,即監視異常活動。
終端日誌記錄
還有另一個審計工具
pam_tty_audit,它與前面提到的auditd實用程序結合使用。pam_tty_audit是您添加到 pam 堆棧的實用程序,它記錄 TTY 上的所有輸入和輸出。這意味著如果使用者通過互動式 ssh 訪問該框,他們的活動將被記錄。但是請注意,最重要的是不惜一切代價保護此日誌。這主要是因為密碼。當您在提示符下輸入密碼時,即使您沒有看到正在輸入的密碼,
pam_tty_audit模組也會看到並記錄它。你也有可能cat出(或以其他方式查看)包含敏感資訊的文件,這些文件也將被記錄。因此,該日誌必須要麼立即從本地系統運出,以免入侵者獲得,要麼必須對其進行加密(並且解密密鑰不得在本地系統上)。最好兩者都應該執行,遠端發送並加密。