लिनक्स पर उपयोगकर्ता कार्यों (ऑडिट) को लॉग करने के लिए स्क्रीन का उपयोग करना

उद्देश्य:

लिनक्स कंसोल में उपयोगकर्ता क्रियाओं (ऑडिट) के बारे में जानकारी एकत्र करें, अर्थात् वे जो कमांड दर्ज करते हैं और स्क्रीन पर प्रदर्शित जानकारी।

प्रस्तावित समाधान:

लिनक्स में लॉगिंग के साथ सभी उपयोगकर्ताओं के लिए डिफ़ॉल्ट रूप से स्क्रीन

आवश्यक शर्तें:

1. कंसोल में सभी उपयोगकर्ताओं की पूर्ण लॉगिंग, जिसमें प्रक्रियाओं द्वारा सूचना का उत्पादन शामिल है, ताकि आप यह मूल्यांकन कर सकें कि उपयोगकर्ता ने यह या उस निर्णय को क्यों किया
2. लॉगिंग को अक्षम करने की क्षमता के बिना
3. चूंकि आपने स्क्रीन को चुना है, हम इसकी क्षमताओं का उपयोग अधिकतम करने के लिए करेंगे (नई विंडो खोलना, ^ a + d से बंद करना, काम करने की प्रक्रिया और अन्य सुविधाएं छोड़ना)
4. अधिकतम प्रयोज्य - अनुप्रयोगों के साथ कोई असंगति नहीं होनी चाहिए
5. उन उपयोगकर्ताओं द्वारा उपयोग के मामले में जो स्क्रीन से परिचित नहीं हैं, काम को यथासंभव परिचित करें और सामान्य कमांड शेल (शेल) के करीब बनाएं

संभावित विकल्प:

1) Habré पर प्रस्तावित विकल्प । काम कर रहे हैं, लेकिन कुछ बिंदु हैं:

• एक अच्छे तरीके से, आपको उपयोगकर्ता शेल को / etc / गोले में निर्दिष्ट करना होगा
• स्क्रीन ऐसी नहीं है। दूसरे शब्दों में, अतिरिक्त विंडो नहीं खुलती हैं
• लॉगिंग डिसेबल बनल है ^ ए + एच (अपरकेस)

2) विकल्प यहाँ भी सुझाए गए हैं, लेकिन ये अधिक कच्चे बिल्ट हैं

तो चलिए शुरू करते हैं:

हमारे कार्य के लिए स्क्रीन का उपयोग करने के 2 संभावित विकल्प हैं:

• देशी शेल (शेल) का उपयोग करना, और फिर स्क्रीन को स्वचालित रूप से स्क्रिप्ट कहना
• कमांड शेल के रूप में स्क्रीन का उपयोग करना

लिंक से उद्धरणों को देखते हुए, दूसरा विकल्प अच्छा नहीं है

हम स्क्रीन लॉन्च करने के लिए एक स्क्रिप्ट बनाते हैं ताकि जब आप बैश शेल को चलाएं (आखिरकार, आपके पास बैश, राइट है?), सभी उपयोगकर्ता इस फाइल का उपयोग करते हैं और लॉगिंग सक्षम के साथ डिफ़ॉल्ट रूप से स्क्रीन में लोड करते हैं। जब आप स्क्रीन से बाहर निकलते हैं, तो सत्र बंद हो जाता है:
vi /usr/local/bin/get_in.sh

 #!/bin/sh SCREEN=/usr/bin/screen KILL=/bin/kill ## Check if we are already in screen ($STY is set) if [ -z "$STY" ]; then $SCREEN -LARR -S Shared -c /etc/screenrc ## Force SHELL close on exit - we don't want to allow users to escape logging outside screen $KILL -SIGHUP $PPID fi 

हमारे पास क्या है:
-L - पूरे लॉग को फाइल में भेजें (जहाँ वास्तव में - नीचे लॉग / फाइल / स्क्रीन / फ़ाइल में निर्देश देखें)
-एक - वर्तमान टर्मिनल के आकार के अनुसार विंडो आकार। यहां से ले गए ।
-RR - सत्र को फिर से कनेक्ट करें और, यदि आवश्यक हो, तो इसे अलग करें या इसे फिर से बनाएं। यदि एक से अधिक उपलब्ध हैं तो पहले सत्र का उपयोग किया जाता है। ^ A + d द्वारा वियोग के मामले में, उसी उपयोगकर्ता के उसी सत्र को फिर से दर्ज करने पर खुल जाएगा।
-c - हम स्पष्ट रूप से इंगित करते हैं कि उपयोगकर्ताओं को लॉगिंग और पुन: असाइन करने के विकल्पों को अक्षम करने की संभावना से बचने के लिए किस कॉन्फ़िगरेशन फ़ाइल का उपयोग करना है, उदाहरण के लिए, ~ / .rcrc में फ़ाइल बनाना।
-एस - सत्र के लिए एक अनुकूल नाम निर्दिष्ट करें। प्रत्येक उपयोगकर्ता का एक ही नाम हो सकता है।

हम स्क्रिप्ट को निष्पादन योग्य बनाते हैं:
chmod 0755 /usr/local/bin/get_in.sh

हम सभी को इस स्क्रिप्ट का उपयोग करने के लिए बनाते हैं। ऐसा करने के लिए, /etc/bash.bashrc फ़ाइल के अंत में लाइन जोड़ें:
/usr/local/bin/get_in.sh

फ़ाइल को ठीक करें / etc / screenrc:

 ## ,          .    (on),   . startup_message off # default: on ##    -   ""   shell vbell off ##      4096.    - 100. defscrollback 4096 # default: 100 ##    (shell),       .     $SHELL.      '-' ,       login-shell. defshell -/bin/bash ##      ^a+[ . crlf off # default: off ##      . caption always "%{= kg} %H | %{kc}%?%-w%?%{kY}%n*%f %t%?(%u)%?%{= kc}%?%+w%? %=|%{kW} %l %{kw}| %{kc}%{-b}%D, %m/%d/%Y | %{kW}%{+b}%c %{wk}" ## Set terminal cap info termcapinfo xterm* 'hs:ts=\E]0;:fs=\007:ds=\E]0;\007' hardstatus off ##        screen (^a + H) bind H ##     - logfile /var/log/screen/$USER@%H-%Y%m%d-%c:%s.log ## By default, screen uses an 8-color terminal emulator. Use the following line to enable more colors, which is useful if you are using a more-capable terminal emulator: term screen-256color ##       - logtstamp on 

लॉग के लिए एक निर्देशिका बनाने के लिए मत भूलना:

 mkdir /var/log/screen 

 chmod 0777 /var/log/screen 

इसके द्वारा हम यह प्राप्त करते हैं कि सभी कमांड फॉर्म की लॉग फाइल में लॉग इन होंगे:

/var/log/screen/user@server-20130716-19:52:34.log

डेबियन में, स्क्रीन पूरा करने के लिए कमांड पूरा होने (bash_completion) पर काम करने के लिए, आपको इसे /etc/bash.bashrc में अनलॉक्ड करना होगा:

 # enable bash completion in interactive shells if [ -f /etc/bash_completion ] && ! shopt -oq posix; then . /etc/bash_completion fi 

प्रिय 1ex, ssh उपयोगकर्ता @ होस्ट "ls -l" का उपयोग करने के लिए एक समाधान का सुझाव दिया ताकि ssh के लिए आवरण का उपयोग करके इंटरएक्टिव बैश मोड में प्रवेश किए बिना कमांड लॉग ऑन किया जा सके। ऐसा करने के लिए, आपको चाहिए:
में / etc / ssh / sshd_config आवरण प्रसंस्करण के लिए एक लिंक निर्दिष्ट करें:

 ForceCommand /etc/ssh/hook.sh 

फिर खुद ही रैपर /etc/ssh/hook.sh बनाएं:

 #!/bin/sh if [ ! -z "${SSH_ORIGINAL_COMMAND}" ]; then echo "User "${USER}" remotely runs a command: ${SSH_ORIGINAL_COMMAND}" >> /var/log/screen/$USER@`hostname`-`date +%Y%m%d-%H:%M:%S`-command.log bash -c "$SSH_ORIGINAL_COMMAND" else cat /etc/motd ${SHELL} fi 

इसे निष्पादन योग्य बनाना न भूलें:

 chmod +x /etc/ssh/hook.sh 

इस तरह, हम यह सुनिश्चित करते हैं कि ऐसे सभी कमांड (और केवल कमांड - बिना जानकारी के जो स्क्रीन पर प्रदर्शित होते हैं) एक ही डायरेक्टरी में लॉग इन करते हैं और प्रत्यय "-कमांड" के साथ पूरक होते हैं:

/var/log/screen/user@server-20130717-12:47:53-command.log

खैर, यह बात है। अब, कनेक्ट करते समय, सभी उपयोगकर्ता (रूट सहित - सावधान रहें यदि आप लॉग इन करने की क्षमता खो देते हैं!) स्क्रीन में काम करेगा, जो बैश से लॉन्च किया गया है। जब आप स्क्रीन से बाहर निकलते हैं, तो पैरेंट बैश बंद हो जाता है और कनेक्शन बाधित हो जाता है। यदि पृष्ठभूमि में चलने वाली प्रक्रियाओं को छोड़ना आवश्यक है, तो हम बाहर निकलने के लिए ^ a + d का उपयोग करते हैं। अगली बार जब आप कनेक्ट करेंगे, तो यह सत्र अपने आप कनेक्ट हो जाएगा।

आगे के अध्ययन के लिए:

• चूंकि लॉग में कमांड का आउटपुट लिखा गया है, इसलिए वे बड़ी मात्रा में जगह ले सकते हैं। वॉल्यूम / ट्रैफ़िक को कम करने के लिए संपीड़न विधियाँ प्रदान करना आवश्यक है
• लॉग के लिए सबसे अच्छी जगह रिमोट मशीन है और आगे की प्रक्रिया है, क्योंकि स्थानीय मशीन पर लॉग उपयोगकर्ता के यूआईडी / गाइड के साथ बनाए जाते हैं और उनके द्वारा हटाए / बदले जा सकते हैं। Syslog का उपयोग करना माना जाता है।
• शायद स्क्रीन के आसपास पाने के तरीके हैं और, तदनुसार, इस कॉन्फ़िगरेशन के साथ लॉगिंग। मैं उन्हें सुनना और बदलाव करना चाहूंगा

प्रयुक्त स्रोत:

• http://habrahabr.ru/sandbox/65904/
• http://superuser.com/questions/52297/use-gnu-screen-as-login-shell
• https://spaces.seas.harvard.edu/display/USERDOCS/How+to+use+%27screen%27+for+remote+shell+sessions
• http://www.linuxjournal.su/?p=3495
• http://www.howtoforge.com/options-for-user-auditing-on-linux-platforms

अपडेट:

1) जोंलेथ के अनुसार , रास्ते मुश्किल में बदल जाते हैं:
पैरा:

 SCREEN=`which screen` KILL=`which kill` 

द्वारा प्रतिस्थापित:

 SCREEN=/usr/bin/screen KILL=/bin/kill 

फिलहाल, कमांड लॉगिंग को बायपास करने के 2 तरीके हैं:

1) Kiltum का सुझाव दिया गया है : ssh उपयोगकर्ता @ होस्ट "ls -l" जैसे कमांड लॉग नहीं हैं। इस स्थिति में, आदेशों को / बिन / bash -c <कमांड> के रूप में निष्पादित किया जाता है, जबकि आवश्यक /etc/bash.bashrc नहीं पढ़ा जाता है।
प्रिय 1ex ने ssh के लिए आवरण का उपयोग करके एक समाधान सुझाया। अब इस प्रकार के सभी कमांड लॉग हो गए हैं। किए गए पाठ में परिवर्तन।
2) फॉरएवरयुंग ने सुझाव दिया : स्क्रीन -एक्स लॉग कमांड लॉगिंग को निष्क्रिय कर देता है।
इस सुविधा को अब तक अक्षम करने की कोई संभावना नहीं है, इसलिए यह कमांड चलाने वाले उपयोगकर्ताओं के लिए प्रशासनिक उपाय लागू करना आवश्यक है (यह कमांड अभी भी लॉग इन किया जाएगा)।
बेहतर समाधान का स्वागत है।

परिणाम:

जैसा कि यह निकला, स्क्रीन पूरी तरह से इस तरह की समस्याओं को हल करने के लिए डिज़ाइन नहीं किया गया है, अर्थात्, कमांड को मजबूर करने और लॉग आउट करने की संभावना के बिना उन्हें लॉग आउट करना। यह इस तथ्य की ओर जाता है कि आपको अन्य फ़ाइलों को अतिरिक्त रूप से संपादित करना होगा।
जैसा कि इस तरह की समस्या को हल करने के लिए सम्मानित अमाराओ ने सिफारिश की है, अन्य समाधानों को देखना बेहतर है:
ए) छद्म टर्मिनलों (अधिक गंभीरता से) से गुजरने वाले सभी ट्रैफ़िक को सूँघना। kiltum ने सुझाव दिया कि वह बहुत ही कमज़ोर है । स्लिपर ने स्नूपि लकड़हारा प्रस्तावित किया।
b) ऑडिट सिस्टम (SELinux / Apparmor / etc), जो वास्तव में किया गया सब कुछ रिकॉर्ड करेगा।
लेकिन ये निर्णय इस लेख के दायरे से परे हैं।

मेरा मानना ​​है कि कमियों के बावजूद, लॉग इन करने के लिए स्क्रीन का उपयोग उपयोगकर्ता क्रियाओं और लिनक्स में स्क्रीन पर प्रदर्शित जानकारी उचित है, सरल कार्यान्वयन के कारण और, सबसे महत्वपूर्ण बात, रीडिंग लॉग की सादगी (उदाहरण के लिए, ऑडिट के विपरीत)।