Denuncie   Favoritos   Indicar  

Melhor forma de Auditoria

1. Melhor forma de Auditoria

Pedro Veloso
pedroveloso
(usa openSUSE)

Enviado em 08/01/2015 - 09:46h

Bom dia a todos.

Em minha rede, Localizada em um grupo de Mercado em varias cidades, temos vários PDV's rodando Slackware, conectados em um Servidor com Slackware também. Acessamos os PDV's por ssh para fazer alterações de Parâmetros; configurações de Porta Serial enfim. Acessamos o Servidor com usuários Suporte1, suporte2..... e apos isso acessamos os PDV's com user root. Alguém saberia uma forma de auditoria para saber qual o suporte esta alterando os parâmetros?

Ps: os PDV's não tem usuários criados, apenas o root!

0 0
  • Quote

    •   


    2. Re: Melhor forma de Auditoria

    Perfil removido
    removido
    (usa Nenhuma)

    Enviado em 08/01/2015 - 11:24h


    Bom dia, pelo que entendi voce quer auditar os comandos digitados no shell dos usuarios?



    0 0
  • Quote

    • 3. Re: Melhor forma de Auditoria

    Pedro Veloso
    pedroveloso
    (usa openSUSE)

    Enviado em 08/01/2015 - 11:34h

    rafaelsilvaa10 escreveu:


    Bom dia, pelo que entendi voce quer auditar os comandos digitados no shell dos usuarios?



    Também, mas na verdade, queria saber qual foi o suporte que alterou os parametros..

    Vou tentar esclarecer melhor.. São 1200 pdv's na rede, todos eles conectados em vpn em um server com Slackware.
    Os analistas acessam o Servidor por ssh, e do servidor, acessam os PDV's, por ssh. Quando acessam o Servidor, cada um acessa com seu respectivo usuário e senha. Quando acessam os PDV's, ficam logados com Usuário root. Quando faço um ls -ltr, mostra que a ultima alteração foi pelo user root! Isso que eu gostaria de mudar.. Pensei em criar os usuários, mas criar em 1200 pdvs não seria uma tarefa simples. Resumindo. Quero saber qual o Analista fez a ultima alteração de parâmetros dentro dos PDV's.


    Agradeço desde já a atenção!





    0 0
  • Quote

    • 4. Re: Melhor forma de Auditoria

    Perfil removido
    removido
    (usa Nenhuma)

    Enviado em 08/01/2015 - 19:49h

    pedroveloso escreveu:

    Também, mas na verdade, queria saber qual foi o suporte que alterou os parametros..

    Vou tentar esclarecer melhor.. São 1200 pdv's na rede, todos eles conectados em vpn em um server com Slackware.
    Os analistas acessam o Servidor por ssh, e do servidor, acessam os PDV's, por ssh. Quando acessam o Servidor, cada um acessa com seu respectivo usuário e senha. Quando acessam os PDV's, ficam logados com Usuário root. Quando faço um ls -ltr, mostra que a ultima alteração foi pelo user root! Isso que eu gostaria de mudar.. Pensei em criar os usuários, mas criar em 1200 pdvs não seria uma tarefa simples. Resumindo. Quero saber qual o Analista fez a ultima alteração de parâmetros dentro dos PDV's.

    Agradeço desde já a atenção!



    Uma vez que todos tem acesso root, qualquer informação pode ser forjada.

    Se "última alteração de parâmetros" corresponde ao horário de alteração de certos arquivos, você pode tentar usar esse parâmetro para identificar a origem no /var/log/messages que por padrão recebe mensagens de login e logoff do ssh. Mas aí vem mais problemas, se as máquinas podem receber acessos simultâneos, não há como separar por horário, se limitar a apenas uma conexão ssh em cada PDV, se um analista esquecer logado, ninguém acessa mais até ele ou alguém terminarem a sessão, pode-se configurar desconexão por tempo ocioso no sshd e pode-se contornar isto do lado do cliente ssh.

    Ainda que não tenha sido esta a intenção, dar acesso root e monitorar acesso e alterações não são coisas compatíveis. O modelo de aí exige que se tenha confiança nos analistas. De qualquer forma, se não puder confiar neles, você não tem 1 problema, você tem no mínimo 2. Não existe nenhum procedimento garantido para o seu ambiente.

    Hum, lembrando apenas agora, existem softwares monitores de alterações em arquivos, talvez ajudasse, usá-los para automatizar a tentativa de identificação no /var/log/messages de quem está logado no momento das alterações.

    Outra coisa, quem iria ler log de acesso de 1200 equipamentos? Em outras palvras, porque você precisa desse tipo de controle?


    0 0
  • Quote

    • 5. Re: Melhor forma de Auditoria

    Pedro Veloso
    pedroveloso
    (usa openSUSE)

    Enviado em 09/01/2015 - 09:25h

    textmode escreveu:

    pedroveloso escreveu:

    Também, mas na verdade, queria saber qual foi o suporte que alterou os parametros..

    Vou tentar esclarecer melhor.. São 1200 pdv's na rede, todos eles conectados em vpn em um server com Slackware.
    Os analistas acessam o Servidor por ssh, e do servidor, acessam os PDV's, por ssh. Quando acessam o Servidor, cada um acessa com seu respectivo usuário e senha. Quando acessam os PDV's, ficam logados com Usuário root. Quando faço um ls -ltr, mostra que a ultima alteração foi pelo user root! Isso que eu gostaria de mudar.. Pensei em criar os usuários, mas criar em 1200 pdvs não seria uma tarefa simples. Resumindo. Quero saber qual o Analista fez a ultima alteração de parâmetros dentro dos PDV's.

    Agradeço desde já a atenção!



    Uma vez que todos tem acesso root, qualquer informação pode ser forjada.

    Se "última alteração de parâmetros" corresponde ao horário de alteração de certos arquivos, você pode tentar usar esse parâmetro para identificar a origem no /var/log/messages que por padrão recebe mensagens de login e logoff do ssh. Mas aí vem mais problemas, se as máquinas podem receber acessos simultâneos, não há como separar por horário, se limitar a apenas uma conexão ssh em cada PDV, se um analista esquecer logado, ninguém acessa mais até ele ou alguém terminarem a sessão, pode-se configurar desconexão por tempo ocioso no sshd e pode-se contornar isto do lado do cliente ssh.

    Ainda que não tenha sido esta a intenção, dar acesso root e monitorar acesso e alterações não são coisas compatíveis. O modelo de aí exige que se tenha confiança nos analistas. De qualquer forma, se não puder confiar neles, você não tem 1 problema, você tem no mínimo 2. Não existe nenhum procedimento garantido para o seu ambiente.

    Hum, lembrando apenas agora, existem softwares monitores de alterações em arquivos, talvez ajudasse, usá-los para automatizar a tentativa de identificação no /var/log/messages de quem está logado no momento das alterações.

    Outra coisa, quem iria ler log de acesso de 1200 equipamentos? Em outras palvras, porque você precisa desse tipo de controle?


    Bom dia..

    Eu tenho uma aplicação que mostra alguns Arquivos .xml dentro do Slackware.. Aonde vejo qual foi o parâmetro que foi alterado. Sempre que há uma alteração, eles devem me enviar um E-mail me comunicando qual foi a alteração e por qual motivo. Então, basicamente sei que foi alterado um CMD.xml dentro da FL 20, no PDV 30... mas sei que o user root alterou.. O problema nem é os PDV's ficarem com usuário root. mas o problema é, qual o analista que acessou, que alterou o parâmetro e não me comunicou por E-mail.





    0 0
  • Quote

    • 6. Re: Melhor forma de Auditoria

    Perfil removido
    removido
    (usa Nenhuma)

    Enviado em 09/01/2015 - 10:01h

    pedroveloso escreveu:

    Eu tenho uma aplicação que mostra alguns Arquivos .xml dentro do Slackware.. Aonde vejo qual foi o parâmetro que foi alterado. Sempre que há uma alteração, eles devem me enviar um E-mail me comunicando qual foi a alteração e por qual motivo. Então, basicamente sei que foi alterado um CMD.xml dentro da FL 20, no PDV 30... mas sei que o user root alterou.. O problema nem é os PDV's ficarem com usuário root. mas o problema é, qual o analista que acessou, que alterou o parâmetro e não me comunicou por E-mail.



    Humm, agora eu entendi...

    Vamos lá. Você precisa automatizar o monitoramento dos PDVs a partir do servidor com Slackware. Os passos seriam mais ou menos:

    1. Automatizar o monitoramento desses "parâmetros" nos arquivos XML.
    2. Verificar quem está logado no momento das alterações (pode ser mais de um analista).
    3. Criar um log no servidor com Slackware com data, origin do acesso, arquivo alterado, "parâmetro alterado" e identificação do PDV.

    Parece que o volume de alterações feitas permite que uma pessoa consiga rastrear. Do contrário, teria ainda que criar um procedimento para cruzar os e-mails dos analistas com esse log.

    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Armazenando a senha de sua carteira Bitcoin de forma segura no Linux

    Enviar mensagem ao usuário trabalhando com as opções do php.ini

    Meu Fork do Plugin de Integração do CVS para o KDevelop

    Compartilhando a tela do Computador no Celular via Deskreen

    Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

    Dicas

    Compartilhamento de Rede com samba em modo Público/Anônimo de forma simples, rápido e fácil

    Cups: Mapear/listar todas as impressoras de outro Servidor CUPS de forma rápida e fácil

    Criando uma VPC na AWS via CLI

    Multifuncional HP imprime mas não digitaliza

    Dica básica para escrever um Artigo.

    Tópicos

    Grub não reconhece o Windows 11 (3)

    como posso fazer overclock nesse programa? (1)

    Arch tavado na instalação (3)

    PC congelando em momentos aleatórios (em várias distros) (2)

    Linux Mint 21.1 Lançamento (2)

    Top 10 do mês

    Scripts

    [C/C++] reverse shell na marra!

    [Outros] Dicas e truques Matematica Básica

    [C/C++] criptografia de modo simples

    [C/C++] intdb - gerador de wordlist numerica

    [C/C++] genpass - gerador de senhas seguras

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: