Estamos haciendo la transición de la contraseña de root compartida para usar sudo. ¿Cómo audito el uso de sudo?

8

Cuando subí a bordo, todos nuestros SA tuvieron que memorizar la contraseña de root a los sistemas. Sentí que esto era engorroso (cuando alguien se separaba de la compañía, teníamos que tocar cada servidor y cambiar la contraseña) e inseguro.

Finalmente obtuve suficiente atracción para impulsar las cuentas personales con sudoacceso. Quiero tener una transición sin problemas, así que este es mi plan inicial:

  1. Permita que las SA realicen comandos "aprobados" sin ingresar contraseñas.
  2. Cualquier otro comando requerirá una contraseña cada vez que lo use sudo. Auditaré este comando y los definiré como "aprobados" si se considera necesario o evitaré que se ejecuten si representan un riesgo de seguridad.

Nuestra especificación de usuario se ve así:

%sysadmins      ALL =  PASSWD: ALL, NOPASSWD: SERVICES, FILE_READING, !/bin/su

Pregunta: ¿Cómo tengo una sudoauditoría (preferible por correo electrónico pero lo haría) cuando PASSWDse ejecuta un comando configurado con ?

linux security sudo Belmin Fernandez
fuente
Es posible que desee considerar la creación de informes de registro centralizados y el uso de una herramienta como Logstash o Splunk. Facilita la captura de estos eventos y centraliza el aspecto de alerta / auditoría. Vale la pena hacerlo si tiene un número creciente de puntos finales para monitorear.
jeffatrackaid

Respuestas:

11

Cada vez que se invoca sudo, registra el comando ejecutado en syslog, por lo que recomendaría simplemente instalar logwatch. Por defecto, viene con filtros / agregadores para analizar las entradas de sudo, y puede enviarle informes diarios por correo electrónico.

Es posible que deba escribir un filtro de registro de registro personalizado para diferenciar entre sus dos conjuntos diferentes de comandos.

Si necesita una notificación instantánea de los comandos sudo, puede usar el módulo de salida de correo con rsyslog. Deberá aplicar filtros para que solo se envíen mensajes de sudo a este módulo, para que no se despierte por la mañana con 10k mensajes en su bandeja de entrada.

EEAA
fuente
para una auditoría adicional, también eche un vistazo a: linux.die.net/man/8/auditd
JMW
0

Como dijo ErikA, sudo ya registrará todo lo que se ejecuta. También puede instalar Splunk y (si usa la versión paga) recibir una alerta que le envía un correo electrónico cada vez que ve un mensaje sudo. Esto por sí solo probablemente no valga la licencia, pero si ya tiene una, o ha estado pensando en ello, esto se resolvería fácilmente.

Bill Weiss
fuente
0

Normalmente, todos estos eventos se registran en "/var/log/auth.log"

Shri
fuente