AIX에서 동시 로그인 감사

Question 1

SSH를 사용하여 여러 사용자가 동일한 사용자 ID로 동시에 로그인합니다.

솔직히 가장 쉬운 해결책은 아마도 모든 사람이 자신의 사용자 ID로 로그인하여 해당 방식으로 작업을 수행하도록 하는 것입니다. 특정 사용자로 애플리케이션을 실행해야 하는 경우 다음과 같이 sudo를 통해 명령을 실행하도록 할 수 있습니다.

sudo -u <groupusername> /path/to/command.

sudo가 올바르게 설정되어 있고 sudo에 꽤 좋은 확장 로깅이 있으면 시스템 로그에 작업이 기록됩니다.

당신은 얻을 수 있습니다진짜개선하려면 sudo를 사용하세요. 이것은 매우 유용합니다.

달리 할 수 있는 일이 없다면 사람들이 서버에 SSH로 접속한 다음 sudo su를 사용하는 워크플로를 설정할 수 있습니다. 이렇게 하면 시간이 지남에 따라 추적할 가능성이 더 높아집니다.

설정 기록 파일의 문제점은 해당 파일이 해당 사용자의 소유이기 때문에 쉽게 손상될 수 있다는 것입니다.

에서간단히AIX 감사를 읽은 후에는 로그인 기준이 아닌 사용자 기준으로 감사하는 것처럼 보입니다. 그러나 ICBW는 이에 대해 알고 있습니다. 그래도 열어보겠습니다.

그래서 내 생각에는 (비록 나 자신을 유가 증권으로 홍보하지는 않지만)전문가, 저는 CISSP를 보유하고 있으며 해당 인증과 관련된 지속적인 교육을 유지하고 있습니다.) 보안 부서에 문의하여 충족해야 하는 규정 준수 표준(있는 경우)을 결정해야 합니다(미국에서는 은행이 충족해야 할 것으로 예상합니다).적어도Dodd-Frank, PCI 및 SoX) 및 시스템이 이러한 요구 사항을 준수하도록 하기 위해 수행해야 하는 단계를 알아보세요.

그런 다음 이 목록을 경영진에게 가져가서 오늘날의 환경에서는 이것이 실제로 선택 사항이 아니며 이를 준수하지 않으면 상당한 부과금이 부과될 수 있다고 설명하고 비싼 벌금/수수료를 어떻게 진행할 것인지 결정하게 합니다.

그동안 나는 모든 로깅을 11로 올려서 크롤링을 시작하여 그것이 말하는 내용을 연관시킬 수 있는 방법을 찾을 것입니다. AIX에서는 특히 감사가 활성화된 경우가능한여러 로그 파일의 이벤트를 비교하는 기능.

빠른 예로, 오래 전에 특정 서버가 "충돌"한 이유를 궁금해하는 기술 지원 전화를 받았습니다. 나는 로그를 파헤치는 데 약 30초를 소비했고 T-5에서 누군가가 "루트"(해당 계정을 여는 것은 나쁜 생각)로 로그인한 다음 종료 명령을 실행했다는 것을 발견했습니다.

"아. 저 사람은 내 파트너겠군요. 괜찮습니다." "사건을 종결해도 될까요?"

문제는 당신이 결국 형사 사건에 연루되고 당신의 상관관계가 증거의 일부가 된다면... 맙소사. 나는 그런 위치에 있고 싶지 않습니다.

Answer

SSH를 사용하여 여러 사용자가 동일한 사용자 ID로 동시에 로그인합니다.

솔직히 가장 쉬운 해결책은 아마도 모든 사람이 자신의 사용자 ID로 로그인하여 해당 방식으로 작업을 수행하도록 하는 것입니다. 특정 사용자로 애플리케이션을 실행해야 하는 경우 다음과 같이 sudo를 통해 명령을 실행하도록 할 수 있습니다.

sudo -u <groupusername> /path/to/command.

sudo가 올바르게 설정되어 있고 sudo에 꽤 좋은 확장 로깅이 있으면 시스템 로그에 작업이 기록됩니다.

당신은 얻을 수 있습니다진짜개선하려면 sudo를 사용하세요. 이것은 매우 유용합니다.

달리 할 수 있는 일이 없다면 사람들이 서버에 SSH로 접속한 다음 sudo su를 사용하는 워크플로를 설정할 수 있습니다. 이렇게 하면 시간이 지남에 따라 추적할 가능성이 더 높아집니다.

설정 기록 파일의 문제점은 해당 파일이 해당 사용자의 소유이기 때문에 쉽게 손상될 수 있다는 것입니다.

에서간단히AIX 감사를 읽은 후에는 로그인 기준이 아닌 사용자 기준으로 감사하는 것처럼 보입니다. 그러나 ICBW는 이에 대해 알고 있습니다. 그래도 열어보겠습니다.

그래서 내 생각에는 (비록 나 자신을 유가 증권으로 홍보하지는 않지만)전문가, 저는 CISSP를 보유하고 있으며 해당 인증과 관련된 지속적인 교육을 유지하고 있습니다.) 보안 부서에 문의하여 충족해야 하는 규정 준수 표준(있는 경우)을 결정해야 합니다(미국에서는 은행이 충족해야 할 것으로 예상합니다).적어도Dodd-Frank, PCI 및 SoX) 및 시스템이 이러한 요구 사항을 준수하도록 하기 위해 수행해야 하는 단계를 알아보세요.

그런 다음 이 목록을 경영진에게 가져가서 오늘날의 환경에서는 이것이 실제로 선택 사항이 아니며 이를 준수하지 않으면 상당한 부과금이 부과될 수 있다고 설명하고 비싼 벌금/수수료를 어떻게 진행할 것인지 결정하게 합니다.

그동안 나는 모든 로깅을 11로 올려서 크롤링을 시작하여 그것이 말하는 내용을 연관시킬 수 있는 방법을 찾을 것입니다. AIX에서는 특히 감사가 활성화된 경우가능한여러 로그 파일의 이벤트를 비교하는 기능.

빠른 예로, 오래 전에 특정 서버가 "충돌"한 이유를 궁금해하는 기술 지원 전화를 받았습니다. 나는 로그를 파헤치는 데 약 30초를 소비했고 T-5에서 누군가가 "루트"(해당 계정을 여는 것은 나쁜 생각)로 로그인한 다음 종료 명령을 실행했다는 것을 발견했습니다.

"아. 저 사람은 내 파트너겠군요. 괜찮습니다." "사건을 종결해도 될까요?"

문제는 당신이 결국 형사 사건에 연루되고 당신의 상관관계가 증거의 일부가 된다면... 맙소사. 나는 그런 위치에 있고 싶지 않습니다.

Question 2

두 가지 제안이 있습니다.

별도의 기록 파일을 설정합니다. 예를 들면 다음과 같습니다.

HISTFILE=$HOME/.sh_history.$$

또는 $SSH_CONNECTION 또는 기타 환경 변수를 변형하여 사용하세요.

~할 수 있게 하다AIX 감사.

매우 중요한 경우 타사 도구를 감사 시스템에 연결하여 명령 실행을 원격 시스템으로 오프로드할 수 있습니다. 그렇지 않으면 로컬 관리자가 이러한 권장 사항을 취소할 수 있습니다.

Answer

두 가지 제안이 있습니다.

별도의 기록 파일을 설정합니다. 예를 들면 다음과 같습니다.

HISTFILE=$HOME/.sh_history.$$

또는 $SSH_CONNECTION 또는 기타 환경 변수를 변형하여 사용하세요.

~할 수 있게 하다AIX 감사.

매우 중요한 경우 타사 도구를 감사 시스템에 연결하여 명령 실행을 원격 시스템으로 오프로드할 수 있습니다. 그렇지 않으면 로컬 관리자가 이러한 권장 사항을 취소할 수 있습니다.

Question 3

다음 즐겨찾기를 추천합니다

http://www.ibm.com/developerworks/aix/library/au-audit_filter/ www.redbooks.ibm.com/redbooks/pdfs/sg246020.pdf(레드북)

IBM 감사 하위 시스템을 구성할 수도 있습니다. https://www.netiq.com/documentation/change-guardian/changeguardianuserguide/data/b13v6jsc.html

다음 줄을 사용하여 /etc/profile에 기록 파일을 지정할 수도 있습니다. HISTSIZE=10000 mkdir -p $HOME/.history HISTFILE=$HOME/.history/.history.$(date +%Y%m % d. %H%M%S).$$ 고유한 이름의 기록 파일에 10,000개의 이벤트를 유지하고 해당 이벤트의 로그 날짜를 파일 이름에 포함합니다.

이 팁이 도움이 되기를 바랍니다.

인사. 알

Answer