Как защитить/защитить журналы "sudo" log_input/log_output? [duplicate]
Установите xbindkeysи xautomation. Отредактируйте ~/.xbindkeysrc.scmи напишите:
; bind (Windows key + arrows) to horizontal scroll events
(xbindkey '(mod4 Left) "xte 'mouseclick 6'")
(xbindkey '(mod4 Right) "xte 'mouseclick 7'")
Запустите xbindkeys
Если вы хотите использовать другой набор ключей, используйте xbindkeys --multikeyдля узнать коды.
Ссылки:
- Это небольшая модификация этого ответа, адаптированная к вашему (и моему!) варианту использования.
- Тот же контент, но более подробный.
Два варианта:
Локальное ведение журнала (но учетная запись root может так или иначе стереть файлы)
Вы можете использовать chattr + a в каталоге, чтобы добавить его только . Но, к сожалению, этот атрибут не наследуется для новых файлов и каталогов ( Каков эффект «chattr + a» на каталог ).
chattr -R +a /var/log/sudo-io
Затем вы можете использовать инструмент, который использует функцию inotify ядра, чтобы установить атрибуты только добавить для новых файлов и каталогов (см .: Автоматически устанавливать атрибут добавления для вновь созданных файлов / папок? ). (здесь, вероятно, есть временная атака)
SELinux, безусловно, может помочь ограничить здесь привилегированную учетную запись! ( staff_u и sysadm_u не могут получить доступ к журналам)
Удаленное ведение журнала
К сожалению, структура и формат файлов журналов затрудняют пересылку с использованием syslog (5 файлов за сеанс):
/var/log/sudo-io
/var/log/sudo-io/seq
/var/log/sudo-io/00
/var/log/sudo-io/00/00
/var/log/sudo-io/00/00/02
/var/log/sudo-io/00/00/02/stdout
/var/log/sudo-io/00/00/02/log
/var/log/sudo-io/00/00/02/timing
/var/log/sudo-io/00/00/02/stderr
/var/log/sudo-io/00/00/02/ttyout
/var/log/sudo-io/00/00/01
/var/log/sudo-io/00/00/01/stdin
/var/log/sudo-io/00/00/01/stdout
/var/log/sudo-io/00/00/01/log
/var/log/sudo-io/00/00/01/timing
/var/log/sudo-io/00/00/01/ttyin
/var/log/sudo-io/00/00/01/stderr
/var/log/sudo-io/00/00/01/ttyout
Было бы легко записать файлы журнала на удаленный сервер, установив
каталог, указанный sudo iolog_dir , на удаленный сервер с помощью NFS / CIFS. Для экспортированного каталога NFS потребуется chattr + , как указано выше.
Очевидно, что этот сервер должен быть более безопасным, чтобы пользователь не мог подключиться к этому серверу и стереть там файлы :-).
Обратите внимание, что sudo откажется запускать , если не сможет создать файлы журнала: sudo: невозможно открыть / var / log / sudo-io / seq: В доступе отказано
Все, что вы сделаете локально, на сервере, может быть обойдено решительным администратором или хакером. Единственный способ обеспечить целостность любого журнала - записывать их (или, по крайней мере, реплицировать их) на удаленный сервер syslog. Я не буду вдаваться в подробности того, как это делается, поскольку это очень хорошо известная концепция. Если вы не знаете, пожалуйста, найдите и прочитайте о syslog-ng. Убедитесь, что доступ к удаленному серверу syslog может иметь только команда CSO и никто из команды системных администраторов. Разделение обязанностей - единственный способ защиты от фальсификации журналов. Если бы я был вашим CSO, я бы физически разместил сервер так, чтобы ни оператор, ни сисадмин не могли получить к нему доступ. Потому что, как только у вас появляется физический доступ к любому ящику, безопасность исчезает. Мои 2 цента.