¿Es recomendable registrar completamente la interacción del terminal para la respuesta a incidentes?

Navega tus respuestas
3

Vamos a utilizar un cuadro de salto para servir como un puente SSH a nuestros sistemas de producción. Suponiendo que los operadores realmente están iniciando sesión en un shell en el cuadro de salto y suponiendo que es posible registrar las interacciones de la terminal completa, ¿es recomendable registrar las interacciones de la terminal completa en este tipo de escenario?

Estoy pensando que tener esas interacciones registradas sería una gran herramienta para los informes postmortem y posiblemente también para fines de capacitación. Sin embargo, en la documentación que he leído sobre la respuesta a incidentes informáticos, nunca he visto ninguna mención de grabar el terminal durante el incidente.

    
pregunta Mark Rushakoff 06.05.2013 - 22:31
fuente

3 respuestas

3

Sí, definitivamente es recomendable. Al analizar un incidente, siempre querrá tener la mayor cantidad de información posible. Tener demasiada información es mejor que no tener suficiente, ya que no quiere estar adivinando vínculos entre acciones.

Para revisar un incidente, querrá saber quién hizo qué y cuándo. Para hacer esto, querrá saber la autenticación para saber quién, desea que se ingresen los comandos para saber qué y necesita sincronizar NTP para saber cuándo.

Según el sistema, es posible que algunas actividades no se capturen en su totalidad cuando un usuario con privilegios cae en un indicador de comandos de shell. En estos casos, es posible que desee implementar controles adicionales para evitar esto o agregar software para detectarlo.

    
respondido por el AndyMac 06.05.2013 - 22:46
fuente
1

También lo recomiendo. Para la interacción completa del terminal, uso el módulo PAM pam_tty_audit .

Solo pon esto: 

session     required      pam_tty_audit.so enable=*

al final de su /etc/pam.d/system-auth-ac (RedHat / Fedora / CentOS) y comenzará a registrar todas las pulsaciones de teclas en /var/log/audit/audit.log .

El único inconveniente de esto (potencialmente grave) es que registra todas las interacciones tty incluidas las contraseñas . Este problema se se está solucionando a mi solicitud .

    
respondido por el Tracy Reed 07.05.2013 - 01:16
fuente
0

Sí, hay muchos por los que querría tener un seguimiento de auditoría completo de todo lo que se realiza en un servidor determinado (o todo lo que hace en cualquier servidor), y la auditoría es solo una pequeña fracción.

A menudo, la información que luego resulta crítica solo se descarga en la consola (no en ningún archivo de registro), y tener un historial para revisar puede ser muy útil.

También es útil en un contexto CYA ("¿Quién eliminó el archivo de contraseña ayer?") y para solucionar problemas recurrentes.

Puede grabar sus propias sesiones de terminal utilizando script , que puede examinar más adelante. Escribí un script de bash al que llamé scriptssh , el cual uso en mi cuadro local cuando quiero mantener un registro de una sesión ssh. Solo escribo scriptssh en lugar de ssh para hacer la conexión: 

#!/bin/bash
# TODO: can choke on commands containing quotes.

BASE_DIR=$HOME/ssh-archive/
DT='date +%Y-%m-%d'
TM='date +%H.%M.%S'

# new directory for each day (makes filesystem much faster)
DIR=$BASE_DIR/$DT
[[ -d $DIR ]] || mkdir -p $DIR

# Sanitized for your protection
ARGLIST=$(sed 's/[^A-Za-z0-9.-]/_/g' <<< "$*")
# build filename based on date and passed-in arguments
FNAME=$DIR/$TM--$ARGLIST

# make sure filename is unique
if [[ -f $FNAME ]]; then
    $I=0
    while [[ -f $FNAME.$I ]] ; do (( $I += 1 )); done
    FNAME=$FNAME.$I
fi

exec script -a -c "/usr/bin/ssh $*" $FNAME
    
respondido por el tylerl 23.03.2014 - 20:52
fuente

Lea otras preguntas en las etiquetas

¿cómo puede mi banco ingresar un número de teléfono incorrecto con la información de mi cuenta personal? ¿Dónde dibujar la línea con los administradores de contraseñas? [duplicar]