Merhabalar, Linux auditd(http://linux.die.net/man/8/auditd) özelliği root tarafından etkinleştirilip/pasif hale getirilebilir. Logları syslog ile uzak sunucuya atarak orada ayrıştırma işlemleri yaparak kim read yaptı kim write yaptı herşeyi görebilirsiniz. (Linux auditd logları çok karmaşık olduğu için iyi bir ayrıştıma yapılmalı)
Bir monitör yazılımı ile de ssh ile giriş yapıp audit servisi çalışıyor mu, dosyada bir değişiklik yapıldı mı yapılmadı mı kontrol edebilirsiniz. Daha ileri seviye ve ticari bir kontrol yapmak isterseniz linux auditd'ye ek olarak centrify directaudit çözümünü kullanabilirsiniz. Bu çözüm sayesinde tüm shellleri audit yaparak(intercept) çalıştırılan tüm komutları merkezi bir SQL sunucuya gönderebilirsiniz. Detaylarını http://www.centrify.com/directaudit/overview.asp adresinden bulabilirsiniz. Her iki çözümde de root birşeyleri iptal etmeye çalışabilir. Linux auditd işinde sürekli auditd.conf dosyasının md5 değerini kontrol etmeniz gerekir. Centrify çözümünde kullanıcı servisi stop etmeye çalışsa bile enter'a basılmadan loglar merkeze kaydedilmektedir. Servis durduğu andaki aktif kullanıcı sessionlarını inceleyerek ilgili kişiyi bulabilirsiniz. Kolay gelsin. İsmail Yenigül Sunday, January 16, 2011, 9:11:27 PM, you wrote: > Merhaba, > Kullanıcı bunu, kendisi çalıştırabilir mi? > Emre ERSİN > -----Original Message----- > From: [email protected] > [mailto:[email protected]] On Behalf Of Emre Eryılmaz > Sent: Sunday, January 16, 2011 6:07 PM > To: [email protected] > Subject: [Linux-sunucu] Re: sistem yönetimi etiği ve paranoyak kullanıcı > Merhaba, > Sistem üzerinde istediğiniz denetimi "audit" ile sağlayabilirsiniz. > On Sun, 16 Jan 2011 16:45:46 +0200 > "Emre Ersin" <[email protected]> wrote: >> Merhaba, >> >> Bir sistemin root'u bile bile gidip kullanıcının dosyasını değiştirirse >> bundan nasıl haberder olunabilir? >> Bir sistem yöneticisinin etik olmayan davranışını nasıl raporlardınız? >> Bunu bir kere öğretip bir daha da ar-ge ekibinin saçma sapan, delirtici >> sorularına maruz kalmamak istiyorum. >> (Selinux, audit,acl herşey root kontrolünde) >> >> Saygılar, iyi çalışmalar >> Emre Ersin >>
_______________________________________________ Linux-sunucu E-Posta Listesi [email protected] Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
