Estamos migrando da senha raiz compartilhada para o uso do sudo. Como audito o uso do sudo?

8

Quando entrei, todas as nossas SAs tinham que memorizar a senha root dos sistemas. Eu senti que isso era complicado (quando alguém se separa da empresa, tivemos que tocar em todos os servidores e alterar a senha) e inseguro.

Finalmente, consegui puxar o suficiente para enviar contas pessoais com sudoacesso. Eu quero ter uma transição suave, então este é o meu plano inicial:

  1. Permita que as SAs executem comandos "aprovados" sem inserir senhas.
  2. Todos os outros comandos exigirão senha sempre que você usar sudo. Vou auditar este comando e defini-los como "aprovados", se necessário, ou impedi-los de serem executados se eles representam um risco à segurança.

Nossas especificações de usuário são assim:

%sysadmins      ALL =  PASSWD: ALL, NOPASSWD: SERVICES, FILE_READING, !/bin/su

Pergunta: Como faço a sudoauditoria (preferível por e-mail, mas os logs o fariam) quando um comando configurado com PASSWDé executado?

linux  security  sudo 
Belmin Fernandez
fonte
Você pode considerar um relatório de log centralizado e usar uma ferramenta como Logstash ou Splunk. Facilita a captura desses eventos e centraliza o aspecto de alerta / auditoria. Vale a pena fazer se você tiver um número crescente de pontos finais para monitorar.
jeffatrackaid

Respostas:

11

Toda vez que o sudo é chamado, ele registra o comando executado no syslog, então eu recomendo apenas instalar o logwatch. Por padrão, ele vem com filtros / agregadores para analisar entradas do sudo e pode enviar relatórios diários por e-mail.

Pode ser necessário escrever um filtro personalizado do relógio de registro para diferenciar seus dois conjuntos diferentes de comandos.

Se você precisar de notificação instantânea de comandos sudo, poderá usar o módulo de saída de email com o rsyslog. Você precisará aplicar filtros para que apenas as mensagens sudo sejam enviadas para este módulo, para que você não acorde de manhã com 10 mil mensagens na sua caixa de entrada.

EEAA
fonte
para auditoria adicional, também dê uma olhada em: linux.die.net/man/8/auditd
JMW
0

Como ErikA disse, o sudo já registra tudo o que é executado. Você também pode instalar o Splunk e (se estiver usando a versão paga) ter um alerta que envia um e-mail para você sempre que receber uma mensagem sudo. Isso por si só provavelmente não vale a licença, mas se você já tem uma, ou já pensou nisso, isso seria resolvido facilmente.

Bill Weiss
fonte
0

Normalmente, todos esses eventos são registrados em "/var/log/auth.log"

Shri
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.