auditovanie administratora

Sekcia: Ostatné 13.08.2008 | 14:39
Hladajuci Pomoc   Návštevník
Dobry den,
hladam softver na auditovanie cinnosti administratora na linuxovom serveri, kde bezi aj email, potrebujem vediet o kazdom nim precitanom emaili, neurcenom jemu. Ak mate niekto nejaky tip poradte prosim.
Dakujem
    • Re: auditovanie administratora 13.08.2008 | 16:24
      Avatar borg Arch, Debian jessie  Administrátor
      no ked uz je ten admin (predpokladam ze root), tak si to moze aj upravit, aby si si myslel ze nic necita. mozno pomoze MAC (selinux, grsecurity).
    • Re: auditovanie administratora 13.08.2008 | 18:27
      Avatar Zefram Cochrane MS Windows Vista Ultimate 64bi  Používateľ
      nezmysel, maily sa daju citat normalne na sieti, netreba pristup k mailom a uz vobec nie admina na mail serveri, ak to chce nejaky manazer tak mu to vyhovor lebo je to totalna blbost, ak chces aby ti necitali maily, pouzivaj kryptovanie
      • Re: auditovanie administratora 13.08.2008 | 18:30
        Avatar Samuel BWPOW Kupka CentOS, Mandriva  Používateľ
        Technicky je to urcite mozne, ale potom sa to asi nedat administratorom.
        Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
      • Re: auditovanie administratora 13.08.2008 | 18:42
        Avatar Samuel BWPOW Kupka CentOS, Mandriva  Používateľ
        Aby som este doplnil svoju odpoved: Jemu ide o to, aby si spravca servera nemohol robit co chce, ale aby aj jeho kroky boli monitorovane. Samozrejme, ze je velmi tazke zabranit rootovi prisupovat k suborom ulozenym na danom serveri, ale urcite existuje sposob, ako vsetky pristupy logovat a niekam posielat. Na druhu stranu, je potrebne zabezpecit, aby sa toto logovanie nedalo vypnut (inak to nema velmi zmysel). V tom pripade ale ide o obmedzovanie pravomoci samotneho administratora a teda tazko nadalej hovorit o administratorovi, ako je bezne chapany v linuxe.

        Pokial ide o technicke riesenie, ktore mi v tomto momente napadlo, tak by sa dal spravit kernelovy modul, ktory by len zachytaval eventy pristupu k suborom a vsetky by posielal na iny server, na ktory ten konkretny administrator nema pristup. Zaroven by sa tento modul musel pravidelne hlasit serveru, napriklad kazdu sekundu. Zaroven by musel modul zamedzovat akykolvek pokus o precitanie seba sameho, kedze ak by sa administrator dostal ku kodu, tak by vedel naprogramovat nieco, co by imitovalo overovaci protokol. Cize bez patchovania samotneho jadra to nepojde, na druhu stranu, nemalo by ist o nejake narocne kodenie a vsetko by mal zmaknut priemerny programator za tri dni vratane testovania a dokumentacie.
        Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
        • Re: auditovanie administratora 14.08.2008 | 11:31
          fckr   Návštevník
          S modulom Dazuko, to za den zvladne nakodit aj priemerny admin.
    • Re: auditovanie administratora 14.08.2008 | 11:15
      Hladajuci Pomoc   Návštevník
      Dakujem vsetkym ale ...
      na sieti si admin neskrtne, to nie je problem, problem je ten ze nesmie citat maily na dvoch uctoch, nic viac ale nic menej, mozno by stacilo pridat alebo rozdelit administraciu serveru a druhy administrator by len dozeral na prveho a naopak ... ale idealny by bol softver, ktory vsetko loguje a pravidelne posiela mail na zadanu adresu, v pripade ze mail nepride tak vieme, ze je problem, stale vsak je otazka ci by to root nedokazal oklamat ...
    • Re: auditovanie administratora 14.08.2008 | 12:11
      Avatar majkro Linux for USER,servery-Debian  Používateľ
      Ahoj,
      spis nez samotne reseni tohoto problemu by me zajimalo neco z okolnosti co te k tomu vede. Dost takovych problemu lze resit jinak nez na urovni OS.
      Admin, kterej ma na starosti stovky a vic uctu pro vic firem maily necte, nema na to vetsinou cas a ma dost sve prace. Par lidi co znam a toto delaji nejsou normalni, celkem z toho blaznej a projevuji se tak,ze jim nesmi nic uniknout a vsechno musej vedet, proste zmagorej. Zajimalo by me, proc ten admin nesmi ty maily cist a jak by je zneuzil, nebo co ja vim. Pokud je tam neduvera v admina a nebo moznost, ze admin vyuzije informace ve svuj prospech, tak ho vymen, nebo si sezen nekoho externe. Ovsem nejlepsi je maily sifrovat.Pokud je na serveru nekdo root, tak jim zustane at se na tom nastavi cokoliv.

      To co pises v jednom z komentaru (to ze si admin neskrtne na siti) je hloupost, za sit nepovazuj kabel a switch nebo jinej PC, proste staci pristup na sitovku na serveru a nebo nejakej nastroj na analyzu site primo na serveru, to by mel mit kazdej admin moznost pouzivat.
      • Re: auditovanie administratora 16.08.2008 | 20:35
        Hladajuci Pomoc   Návštevník
        na sietovku pristup ma vsak je root, ale to nebude horuce nakolko siet je monitorovana, ale je to potrebne vyriesit pretoze s najvacsou pravdepodobnostou s jeho prispenim prisla firma o par zakaziek, otazkou je ci to urobil umyselne alebo neumyselne a su naznaky ze to urobil umyselne a najma preto zvazujeme zmenu.... ale ak by existovalo ine riesenie tak by postacovalo....
        • Nedôvera 17.08.2008 | 21:45
          Avatar dodoedo Fedora Linux  Používateľ
          Počúvaj. Čo je toto za bordel ???
          Ako môže firma naďalej zamestnávať (bad) admina, ktorému NEDÔVERUJE ??!!
          G. Orwell: "Čím více se společnost vzdaluje od pravdy, tím více bude nenávidět ty, kteří ji říkají."
          • Re: Nedôvera 17.08.2008 | 21:55
            WlaSaTy   Návštevník
            Jednoducho, tak ze dany admin strati doveru po skusobnej lehote. Dalsi dovod je napriklad ze firma chce prejst na novinku zvanu outsorcing a vzhladom na vysku odstupneho chce nachytat admina na hruskach.

            Otazkou je kto nasadi tento typ monitorovania ked adminovi nedoverujeme. Mas v ociach muchy.
        • Re: auditovanie administratora 18.08.2008 | 03:17
          shade   Návštevník
          Ak pracuje lokalne tak by som do klavesnice strcil keylogger, ak sa pripaja vzdialene tak by som sa snazil skompromitovat ssh (stiahnut kluce, upravit demona...).
          • Re: auditovanie administratora 18.08.2008 | 03:30
            Avatar Samuel BWPOW Kupka CentOS, Mandriva  Používateľ
            Musis si uvedomit, ze na taketo veci lahko pride aj priemerne schopny admin. Problem s monitorovanim je spravidla ten, ze skutocne monitorovat admina moze len niekto, kto je na vyssej urovni (schopnostami), ako monitorovany objekt. Pripadne aspon na rovnakej. Ja som napriklad natolko paranoidny, ze vo volnom case pozeram tcpdump svojich strojov a na posielanie nejakej komunikacie, ktora mi vyslovene nic nehovori, reagujem casto panikou. Taktiez si raz za cas natiahnem nanovo repozitare a dam prekontrolovat hashe vsetkych binarok. Pri naozaj dolezitych serveroch to robim samozrejme z live cd (tych par minut offline sa da prezit).

            Neznamena to, ze rovnako paranoidny je kazdy admin, ale chcel som poukazat na to, ze ak si admin robi dobre svoju pracu, je velmi takze ho monitorovat bez toho, aby o tom vedel a zaroven nevedel toto monitorovanie podvrhnut (ako tu bol napriklad napad s tymi emailami, ktore by urcite nebol pre neho problem podvrhnut).
            Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
    • Re: auditovanie administratora 30.08.2008 | 00:10
      Avatar Zefram Cochrane MS Windows Vista Ultimate 64bi  Používateľ
      Hmm, tak prave som zistil ze mas vazny problem. To s cim mas problem robi az 88% adminov:

      According to identity management firm Cyber-Ark's annual 'Trust, Security & Passwords' survey, a whopping 88% of IT administrators would steal CEO passwords, customer database, research and development plans, financial reports, M&A plans and the company's list of privileged passwords if they were suddenly laid off. The survey also found that one third of IT staff admitted to snooping around the network, looking at highly confidential information, such as salary details and people's personal emails

      viac na http://it.slashdot.org/article.pl?sid=08/08/29/175237&from=rss