Nous passons du mot de passe root partagé à l'utilisation de sudo. Comment puis-je auditer l'utilisation de sudo?

8

Lorsque je suis arrivé à bord, tous nos SA ont dû mémoriser le mot de passe root sur les systèmes. Je sentais que c'était lourd (quand quelqu'un se séparait de l'entreprise, nous devions toucher chaque serveur et changer de mot de passe) et non sécurisé.

Enfin, j'ai suffisamment tiré pour pousser les comptes personnels avec sudoaccès. Je veux avoir une transition en douceur, voici donc mon plan initial:

  1. Autoriser les SA à exécuter des commandes "approuvées" sans entrer de mots de passe.
  2. Chaque autre commande nécessite un mot de passe à chaque utilisation sudo. Je vais auditer cette commande et les définir comme "approuvées" si cela est jugé nécessaire ou empêcher leur exécution si elles posent un risque pour la sécurité.

Nos spécifications utilisateur ressemblent à ceci:

%sysadmins      ALL =  PASSWD: ALL, NOPASSWD: SERVICES, FILE_READING, !/bin/su

Question: Comment puis-je avoir un sudoaudit (préférable via e-mail mais les journaux feraient) quand une commande configurée avec PASSWDest exécutée?

linux security sudo Belmin Fernandez
la source
Vous voudrez peut-être envisager la création de rapports de journaux centralisés et l'utilisation d'un outil comme Logstash ou Splunk. Facilite le piégeage de ces événements et centralise l'aspect alerte / audit. Cela vaut la peine si vous avez un nombre croissant de points finaux à surveiller.
jeffatrackaid

Réponses:

11

Chaque fois que sudo est invoqué, il enregistre la commande exécutée dans syslog, donc je recommanderais simplement d'installer logwatch. Par défaut, il est livré avec des filtres / agrégateurs pour analyser les entrées sudo, et il peut vous envoyer des rapports quotidiens.

Vous devrez peut-être écrire un filtre de surveillance du journal personnalisé pour différencier vos deux ensembles de commandes différents.

Si vous avez besoin d'une notification instantanée des commandes sudo, vous pouvez utiliser le module de sortie de messagerie avec rsyslog. Vous devrez appliquer des filtres pour que seuls les messages sudo soient envoyés à ce module, de peur de vous réveiller le matin avec 10 000 messages dans votre boîte de réception.

EEAA
la source
pour un audit plus approfondi, consultez également: linux.die.net/man/8/auditd
JMW
0

Comme l'a dit ErikA, sudo enregistrera déjà tout ce qui est exécuté. Vous pouvez également installer Splunk et (si vous utilisez la version payante) avoir une alerte qui vous envoie un e-mail chaque fois qu'il voit un message sudo. Cela seul ne vaut probablement pas la licence, mais si vous en avez déjà une, ou que vous y avez pensé, cela serait facilement résolu.

Bill Weiss
la source
0

En général, tous ces événements sont enregistrés dans "/var/log/auth.log"

Shri
la source