vorhergehender Artikel
nächster Artikel

Auditing User Interactions mit Linux

vorhergehende Artikel in: Linux Security
26.12.2015

Wie in einem der vorhergehenden Artikel beschrieben, beschäftige ich mich mit Gedankenexperimenten zum Thema Certificate Authority. Hier nun ein weiterer Aspekt dazu...

Ich wollte eigentlich vorschlagen, den Nutzer, der mit der CA arbeitet, zu auditieren - lies: ich wollte alle seine Interaktionen mit dem System in einem Logfile speichern.

Dazu fand ich verschiedene Lösungen für Linux, darunter Snoopy und rootsh. Von beiden gefiel mir rootsh eigentlich besser, da ich hier in der Lage bin, dies als Login-Shell für einzelne Nutzer zu definieren. Bei Snoopy dagegen habe ich nur die Chance, zwischen "loggt nur root" und "loggt alle Nutzer" zu wählen.

Nachdem ich nun rootsh ausprobieren wollte, musste ich feststellen, dass es dafür kein Debian-Paket gibt und man es daher aus den Quellen installieren muss. Das wäre eigentlich weiter kein großes Problem - aber die Letzte Änderung an dem Paket liegt schon Jahre zurück. Daher sollte man ja generell vorsichtig sein - wenn OpenSource-Software nicht mehr gewartet wird, kann es sein, dass Fehler drin sind... Im Produktivsystem plädiere ich daher wahrscheinlich doch für Snoopy...

Nach dem Auspacken des Quellcode-Archivs 

sudo -i
./configure --disable-logfiles --disable-linenumbering
make 
make install

Anschließend habe ich noch /etc/shells erweitert.

Danach kann man rootsh bereits als Login-Shell einrichten. Tut man das zu diesem Zeitpunkt, werden alle Interaktionen jedes Users, der rootsh als Login-Shell eingerichtet hat, ins syslog geschrieben. Um das abzustellen, habe ich folgende Zeile in (Ubuntu!) /etc/rsyslog.d/50-default.conf hinzugefügt: 

local5.*			/var/log/local5

Damit werden alle Meldungen von rootsh zusätzlich in /var/log/local5 gespeichert. Damit benötigen wir sie im syslog nicht mehr - daher wurde wieder in /etc/rsyslog.d/50-default.conf folgende Zeile 

*.*;auth,authpriv.none		-/var/log/syslog

in 

*.*;auth,authpriv.none,local5.none		-/var/log/syslog

geändert. Natürlich muss man beim Einsatz von rootsh dafür sorgen, dass Nutzer ihre eigene Login-Shell nicht ändern dürfen.

Als Ausblick sei hier noch angemerkt, dass das Material aus diesem Audit nur dann Sinn macht, wenn das Log auf einem entsprechenden Syslog-Server ausgelagert wird...

Alle Artikel rss Wochenübersicht Monatsübersicht Codeberg Repositories Mastodon Über mich home xmpp

Vor 5 Jahren hier im Blog

  • Günstiges Arm64-Board mit Raspi-Formfaktor

    12.12.2020

    Ich habe ein neues Gerät in meinem Hardware-Zoo: Nachdem ich bereits einigeErfahrungen mit Raspis sammeln konnte, machte mich ein Kollege neulich auf eine günstige Variante aufmerksam, Erfahrungen mit ARM64 zu sammeln...

    Weiterlesen

Tags

Android Basteln C und C++ Chaos Datenbanken Docker dWb+ ESP Wifi Garten Geo Go GUI Gui Hardware Java Java. Komponenten Jupyter JupyterBinder Komponenten Links Linux Markdown Markup Music Numerik OpenSource PKI-X.509-CA Präsentationen Python QBrowser Rants Raspi Revisited Security Software-Test sQLshell TeleGrafana Verschiedenes Video Virtualisierung Windows Upcoming...

Neueste Artikel

  • Asymmetrische Kryptographie

    Ich habe mich mit der Idee schon länger getragen: Nochmal einen Rundumschlag zu asymmetrischer Kryptographie zu machen. Dabei werde ich mich auf Demonstrationen der einzelnen Konzepte und Operationen mit Beispielcode konzentrieren und zu jedem der vorgestellten Konzepte mehr oder weniger ausführlich bezüglich der Einsatzszenarien und Vor- und Nachteile Stellung beziehen

    Weiterlesen
  • Verschlüsseln und Signieren aus Java heraus nach RFC5652

    Wie bereits angekündigt werde ich in den nächsten Wochen einige Aspekte asymmetrischer Kryptographie beschreiben. Der erste Artikel in der Reihe - dieser hier - zeigt Verschlüsselung und Signieren von Botschaften mittels der Cryptographic Message Syntax (CMS) nach RFC5652.

    Weiterlesen
  • LinkCollections 2025 XI

    Nach der letzten losen Zusammenstellung (für mich) interessanter Links aus den Tiefen des Internet von 2025 folgt hier gleich die nächste:

    Weiterlesen

Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.

Wer daran teilhaben und eventuell sogar davon profitieren möchte, muss damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.

Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...

PS: Meine öffentlichen Codeberg-Repositories findet man hier.