Есть ли способ регистрировать действия, выполненные пользователем (другим суперпользователем)? - proUbuntu
Винтажный Клуб для гитаристов
1 голос
/

Я изучал возможности с помощью команды Touch , в то время как я подделывал следующую ситуацию в уме.

  1. Предположим, есть два администратора или суперпользователя (пользователь A и пользователь B) компьютера / сервера.

  2. Пользователь B выполняет вредоносные действия, в этом случае давайте рассмотрим, что Пользователь B изменяет подписи файлов с помощью команды touch.


Вопросы

  1. Как пользователь А может идентифицировать эти модификации?

  2. Если есть только один администратор и его система взломана. Как это возможно для администратора, чтобы обнаружить вредоносные действия.

Одним из возможных способов обнаружения такого вторжения является проверка системных журналов, но что если злоумышленник / злоумышленник каким-то образом изменил системные журналы.

Ответы [ 3 ]

2 голосов
/

Вы можете попытаться использовать auditd для регистрации доступа к файлам (и более), но если злоумышленник получит доступ к вашей машине как суперпользователь, то возможно, что все журналы и трассировки будут стерты без какого-либо способ обнаружить это.

Одним из возможных смягчающих факторов является включение удаленной регистрации (по сети) или использование другого оборудования, которое позволяет добавлять данные только без возможности перезаписи материала.

Если вы подозреваете компромисс и хотите его расследовать, вы попадаете в область судебной экспертизы. В зависимости от разгильдяйства атакующего это может быть успешным или неудачным. Примеры включают в себя забвение удаления .bash_history или файлов журналов и удаление файлов без их уничтожения.

Вы упоминаете «подпись файла», но «касание» только изменяет метаданные файла. Они хранятся в специфичном для файловой системы формате на базовом дисковом устройстве. Обычно непривилегированные программы не могут напрямую изменять базовое дисковое устройство. Вместо этого они взаимодействуют с ядром с помощью системных вызовов и запрашивают изменения в файловой системе (которые затем распространяют изменения на базовый диск). Чтобы узнать, какая система вызывает использование программы, вы можете использовать программу strace . Например, strace touch x дает мне:

...
open("x", O_WRONLY|O_CREAT|O_NOCTTY|O_NONBLOCK, 0666) = 3
dup2(3, 0)                              = 0
close(3)                                = 0
utimensat(0, NULL, NULL, 0)             = 0
...

Здесь вы можете видеть, что системному вызову open передается путь и возвращается дескриптор файла. Позже этот файловый дескриптор используется при вызове системного вызова utimensat, который изменяет временную метку файла. Все эти действия могут регистрироваться демоном аудита, описанным ранее, и, конечно, результаты могут наблюдаться из-за изменений в файловой системе. Если вы будете копать достаточно глубоко, вы можете найти доказательства этой деятельности, но тогда вы действительно полагаетесь на креативность криминалистов.

1 голос
/

Вы можете использовать AIDE , основанную на хосте систему обнаружения вторжений (HIDS) для проверки целостности файлов с подписью. Говорят, что он может хранить mtime, ctime и atime каждого файла. Итак, ваш пример покрыт.

Конечно, вы, возможно, захотите сохранить результат AIDE вне сайта, чтобы ничто не могло быть изменено с результатом.

Я уверен, что есть другие HIDS, которые предлагают аналогичную функцию на основе подписи: http://www.la -samhna.de / library / scanners.html

0 голосов
/

Если кому-то удастся получить root-доступ, он сможет делать все, что захочет, включая удаление всех следов своей деятельности.

Извините, но единственное, что вы можете и должны сделать, это защитить ваши пароли root / sudo.

...