Wir wechseln vom freigegebenen Root-Passwort zur Verwendung von sudo. Wie überprüfe ich die Verwendung von sudo?

8

Als ich an Bord kam, mussten sich alle unsere SAs das Root-Passwort für die Systeme merken. Ich fand das umständlich (wenn sich jemand von der Firma trennt, mussten wir jeden Server berühren und das Passwort ändern) und unsicher.

Endlich genug Zugkraft, um persönliche Konten mit sudoZugriff zu pushen . Ich möchte einen reibungslosen Übergang haben, daher ist dies mein ursprünglicher Plan:

  1. Ermöglichen Sie SAs, "genehmigte" Befehle auszuführen, ohne Kennwörter einzugeben.
  2. Für jeden anderen Befehl ist bei jeder Verwendung ein Kennwort erforderlich sudo. Ich werde diesen Befehl prüfen und sie als "genehmigt" definieren, wenn dies als notwendig erachtet wird, oder verhindern, dass sie ausgeführt werden, wenn sie ein Sicherheitsrisiko darstellen.

Unsere Benutzerspezifikation sieht folgendermaßen aus:

%sysadmins      ALL =  PASSWD: ALL, NOPASSWD: SERVICES, FILE_READING, !/bin/su

Frage: Wie kann ich eine sudoPrüfung durchführen (vorzugsweise per E-Mail, aber Protokolle würden dies tun), wenn ein mit konfigurierter Befehl PASSWDausgeführt wird?

linux security sudo Belmin Fernandez
quelle
Möglicherweise möchten Sie eine zentralisierte Protokollberichterstattung in Betracht ziehen und ein Tool wie Logstash oder Splunk verwenden. Erleichtert das Abfangen dieser Ereignisse und zentralisiert den Alarmierungs- / Überwachungsaspekt. Es lohnt sich, wenn Sie eine wachsende Anzahl von Endpunkten überwachen müssen.
Jeffatrackaid

Antworten:

11

Jedes Mal, wenn sudo aufgerufen wird, wird der ausgeführte Befehl in syslog protokolliert. Daher würde ich empfehlen, nur logwatch zu installieren. Standardmäßig enthält es Filter / Aggregatoren zum Parsen von Sudo-Einträgen und kann Ihnen tägliche Berichte per E-Mail senden.

Möglicherweise müssen Sie einen benutzerdefinierten Logwatch-Filter schreiben, um zwischen zwei verschiedenen Befehlssätzen zu unterscheiden.

Wenn Sie eine sofortige Benachrichtigung über sudo-Befehle benötigen, können Sie das Mail-Ausgabemodul mit rsyslog verwenden. Sie müssen Filter anwenden, damit nur Sudo-Nachrichten an dieses Modul gesendet werden, damit Sie nicht morgens mit 10.000 Nachrichten in Ihrem Posteingang aufwachen.

EEAA
quelle
Weitere Informationen
JMW
0

Wie ErikA sagte, wird sudo bereits alles protokollieren, was ausgeführt wird. Sie können auch Splunk installieren und (wenn Sie die kostenpflichtige Version verwenden) eine Warnung erhalten, die Sie per E-Mail benachrichtigt, wenn eine Sudo-Nachricht angezeigt wird. Dies allein ist die Lizenz wahrscheinlich nicht wert, aber wenn Sie bereits eine haben oder darüber nachgedacht haben, kann dies problemlos behoben werden.

Bill Weiss
quelle
0

Normalerweise werden alle diese Ereignisse in "/var/log/auth.log" protokolliert.

Shri
quelle