タグ付けされた質問 「audit」

次の目的でリソースを監視/ログに記録します。-ホワイトリストのブラックリストにリソースを追加します-システムのセキュリティのタブを保持します

4
Linux:リモートsysadminのセットアップ
Linuxシステムでのリモートサポート、トラブルシューティング、および/またはパフォーマンスチューニングを提供するという奇妙な要求を時々受けます。 大企業では、ベンダー/サプライヤーにリモートアクセスを提供するための手順が確立されていることがよくあり、それらに準拠する必要があるだけです。(良くても悪くても。) 一方、小さな会社や個人は、私を立ち上げるために何をする必要があるかを常に教えてくれるよう常に頼りにしています。通常、サーバーはインターネットに直接接続されており、既存のセキュリティ対策は、Linuxディストリビューションが何であれ、デフォルトで構成されています。 ほとんどの場合、ルートレベルのアクセスが必要になりますが、アクセスを設定する人はシステム管理者ではありません。ルートパスワードは必要ありません。また、自分のアクションが悪意のあるものではないと確信していますが、次のような合理的な簡単な指示を与える必要があります。 アカウントを設定し、資格情報を安全に交換します ルート(sudo)アクセスをセットアップする アカウントへのアクセスを制限する 監査証跡を提供する (はい、悪意のあるアクションを非表示にする管理者アクセス権を持っていると、クライアントに常に警告しますが、監査証跡の作成に非表示にして積極的に参加するものは何もないと仮定しましょう。) 以下の手順で何を改善できますか? 私の現在の命令セット: アカウントを設定し、資格情報を安全に交換します パスワードハッシュを提供し、その暗号化されたパスワードでアカウントがセットアップされていることを確認します。そのため、クリアテキストパスワードを送信する必要はありません。パスワードを知っているのは私だけです。予測可能な脆弱なパスワード。 sudo useradd -p '$1$********' hbruijn 私は公開鍵SSH(クライアントごとに特定の鍵ペア)を提供し、彼らにその鍵で私のアカウントをセットアップするよう依頼します: sudo su - hbruijn mkdir -p ~/.ssh chmod 0700 ~/.ssh echo 'from="10.80.0.0/14,192.168.1.2" ssh-rsa AAAAB3NzaC1y***...***== hbruijn@serverfault' >> ~/.ssh/authorized_keys chmod 0600 ~/.ssh/authorized_keys ルート(sudo)アクセスをセットアップする クライアントにsudo sudoedit、お気に入りのエディターを使用して、または追加してsudoをセットアップし、以下に追加するよう依頼します/etc/sudoers。 hbruijn ALL=(ALL) ALL アカウントへのアクセスを制限する 通常、クライアントは引き続きパスワードベースのログインを許可/etc/ssh/sshd_configし、少なくともアカウントをSSHキーのみに制限するために、次の2行を追加するように依頼します。 Match user hbruijn …
51 linux  security  sudo  root  audit 


10
スーパーユーザーのアクティビティを追跡する方法
Linux環境でのスーパーユーザーのアクティビティを追跡するための最良のアプローチは何ですか。 具体的には、次の機能を探しています。 A)キーストロークをセキュリティで保護されたsyslogサーバーに記録する B)シェルセッションを再生する機能(scriptreplayのようなもの) C)理想的には、これはサーバーに物理的にアクセスすることなく回避することが不可能な(または非常に難しい)ものでなければなりません。 これをセキュリティ/監査の観点から考えてください。異なるシステム管理者(またはサードパーティ)がサーバーで特権操作を実行できるようにする必要がある環境で。 すべての管理者は自分の名目上のアカウントを持ち、必要に応じて再生できるように、すべての対話型セッションを完全にログに記録する必要があります(たとえば、重要なファイルを削除または変更するためにmcを使用した場合、それだけでは不十分です)その人がmcコマンドを発行したことを知ってください; mcの起動後に何が行われたかを正確に確認する方法が必要です。 追加のメモ: wombleが指摘しているように、サーバーで変更を実行するためにroot権限でログインするのではなく、構成管理システムを使用して変更するのが最善のオプションかもしれません。そのため、このようなシステムがなく、同じサーバー上の異なるユーザーにルートレベルのアクセスを許可する必要がある状況を想定しましょう。 私はこれを秘密裏に行うことにまったく興味がありません:ルート権限でサーバーにログインするすべての人は、セッションが記録されることを完全に認識します(たとえば、コールセンターのオペレーターが会話が記録中) 誰も一般的なスーパーユーザーアカウント(「ルート」)を使用しない 私はttyrpldを知っており、私が探していることをやっているようです。しかし、その前に、変更されていないカーネルを使用することでこれを解決できるかどうかを知りたいと思います。シェルまたはカーネルにパッチを当てることなく、スーパーユーザーアカウントの完全な監査を可能にする、特にDebian(または一般にLinux)用のツールがあるかどうかを知りたいです。
21 linux  security  audit 

6
Cygwin SSHd Autoblockが失敗したログイン
Windows Server 2008マシンでSSHデーモンを使用してCygwinを実行しています。私はイベントビューアを見ていましたが、先週かそこらで、異なるIPからの1秒あたり5〜6回のログイン試行の失敗(ブルートフォース)に気付きました。 これらのIPを1つずつ手動でブロックするのではなく、どのように自動ブロックできますか? ありがとう、アーマッド

2
sshサーバーでサポートされているMAC、暗号、KexAlogrithmsを一覧表示するにはどうすればよいですか?
sshサーバーでサポートされている、サポートされているMAC、暗号、キーの長さ、KexAlogrithmsを確認するにはどうすればよいですか? 外部セキュリティ監査用のリストを作成する必要があります。に似たものを探していopenssl s_client -connect example.com:443 -showcertsます。私の研究でsshは、にリストされているデフォルトの暗号を使用していますman sshd_config。私は解決策を必要とするしかし、私はスクリプトで使用することができますし、man sshd_configキーの長さに関する情報が表示されません。私はここで自分自身を修正する必要があります:あなたが指定することができますServerKeyBitsの中でsshd_config。 私はそれssh -vv localhost &> ssh_connection_specs.outが必要な情報を返すと思いますが、リストされた暗号がクライアントまたはサーバーによってサポートされている暗号であるかどうかはわかりません。また、スクリプトでこの非インタラクティブを実行する方法がわかりません。 SSH接続情報を取得する便利な方法はありますか?
18 linux  ssh  audit 

5
Gitコミット監査
sshで実行されているgitサーバーがあり、各ユーザーはシステム上にUNIXアカウントを持っています。 2人のユーザーがリポジトリにアクセスできる場合、コミットユーザー名と電子メールはgitクライアントによって送信および制御されるため、どのユーザーがどのコミットを実行したかをどのようにして確認できますか。 ユーザーが同じ承認権限を持っている場合でも、ユーザーが別のユーザーになりすまそうとするのではないかと心配しています。
16 git  security  audit 

3
SYSLOGサーバーへの監査ログの送信
2.6カーネル内の監査機能を利用してユーザーアクティビティを追跡するいくつかのRHELベースのシステムを実行しています。これらのログを監視およびイベント相関のために中央のSYSLOGサーバーに送信する必要があります。誰もこれを達成する方法を知っていますか?
13 linux  syslog  redhat  audit 

7
許可をどのように文書化/追跡しますか
私はWindows管理者なので、Windowsと統合する人が最も役立つでしょう。この時点での私の主な課題は、ファイル共有を使用することだけですが、SharePointの使用が増えるにつれて、これは難しくなります。 すべてのディレクトリをセットアップし、必要最小限のアクセスのポリシーでセットアップされた多くのセキュリティグループが許可されています。私の問題は、人事およびコンプライアンスの理由ですべてを追跡することです。 ユーザーAにはリソース1に対する許可が必要です。リソース1のマネージャーから承認を得る必要があり、マネージャーのマネージャーもこのアクセスを承認する必要があります。すべて完了したら、変更を加えることができます。この時点で、私たちはそれを紙で追跡していますが、ユーザーAが再割り当てされ、他のシナリオの中でリソース1にアクセスする必要がなくなると、そのような負担になり、コンプライアンスから外れます。 私が探しているものはすでに存在しているはずですが、どこを探すべきか分からず、コミュニティに手を差し伸べています。 編集: 回答いただきありがとうございます。彼らは技術的な側面に触れていると思うし、うまくいけば私の質問はトピックから外れていないと思います。私は自分の目標を明確にすべきでした。X日にユーザーAが許可を追加/削除し、マネージャーYによって承認されたことを監査人に示すためにどのシステムを使用しますか?現在、基本的なチケットシステムを導入していますが、必要なものがわかりやすい形式で提供されているとは思えません。 私の考えでは、ユーザーAのレポートに、権限に加えられたすべての変更が表示されるようなものを描いています。理想的にはActive Directoryにリンクするものが理想的ですが、この時点でもっと基本的なものを見つけたいと思っています。これ専用のアプリケーションがあることを期待しています。 ありがとう!

8
リモートコンピューターの種類と速度をインベントリするにはどうすればよいですか?
100人のユーザーがいるWindows 2003/2008企業ネットワークにいます。私は、すべてのエンドユーザーワークステーションのRAMを増やすことを任されてきました。 問題は、環境内に異なるコンピューターが混在していることです。一部はデル、一部はHP、一部はゼロから構築したワークステーションです。言うまでもなく、これらのマシンはすべて同じメモリタイプまたは速度を共有しません。 これら100台のコンピューターのそれぞれに1つずつアクセスして、メモリー情報を見つけることができます。しかし、私はむしろ、時間とコストのかからない、よりエレガントなソリューションを見つけたいと思っています。 特定のメモリタイプ(SDRAM、DDR、DDR2など)、速度、およびスロット構成を見つけるために、これらのマシンをリモートでインベントリ/監査する方法はありますか? ありがとう、どんな助けも大歓迎です。
12 hardware  memory  audit 

4
ファイルを監査して削除した人を確認するにはどうすればよいですか?
サーバーの1つに、不思議なことに削除され続けるファイルがあります。私がやりたいのは、プログラムにこのファイルを見てもらい、いつ/どのように/誰によって削除されたかを知らせることです。問題のファイルのバックアップがあるため、元に戻すのはそれほど面倒ではありませんが、Webサイトのダウンタイムにつながります。 これを行うソフトウェアはありますか?たぶん無料の何か?OSはWindows Server 2003 SP2 32ビットです。

2
イベント4625監査失敗NULL SIDがネットワークログオンに失敗しました
3つの個別のシステムでは、ドメインコントローラーサーバーで次のイベントが何度も(システムによっては1日30〜4,000回の間で)ログに記録されます。 An account failed to log on. Subject: Security ID: SYSTEM Account Name: %domainControllerHostname%$ Account Domain: %NetBIOSDomainName% Logon ID: 0x3E7 Logon Type: 3 Account For Which Logon Failed: Security ID: NULL SID Account Name: Account Domain: Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xc000006d Sub Status: …

4
Linuxでのファイル監査:ディレクトリツリーの削除を監視する方法は?
サーバーでフォーラムスクリプトを実行していますが、どういうわけか少数の添付ファイルが失われ始めます。何が何を削除しているのかを知りたい。Linuxのauditd(auditctl)を設定して、ディレクトリツリー(添付ファイルはマルチレベルのディレクトリツリー内に保存されます)を監視して、ファイルの削除を監視する方法を教えてください。 これには他のツールを使用する必要がありますか?
9 linux  centos  audit  auditd 

2
サーバーがロックアップし、/ var / log / messagesが「バックログ制限を超えました」と報告する
今朝、外部ネットワークトラフィックに応答しなくなったCentOS OSがあります。これは仮想マシンです。VMを再起動できました。再度ログインすると、/ var / log / messagesファイルに次の項目が見つかり、再起動の時点まで何度も繰り返しました。 Jan 21 06:53:01 PBX kernel: audit: backlog limit exceeded Jan 21 06:53:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320 Jan 21 06:54:01 PBX kernel: printk: 8 messages suppressed. Jan 21 06:54:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320 Jan 21 06:54:01 PBX kernel: audit: audit_lost=1130 …
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.