Аудит событий в AIX


Главная Форумы POWER Systems AIX/Hardware Аудит событий в AIX

В этой теме 16 ответов, 7 участников, последнее обновление  andrewk 3 года/лет, 11 мес. назад.

  • Автор
    Сообщения
  • #18331

    Eigen
    Участник

    Добрый день, коллеги

    Вопрос в том, как правильно настроить протоколирование событий входа (локально и удаленно) и выхода пользователей в ОС AIX с помощью подсистемы аудита (Audit).

    Интересуют события удалённых Login/Logoff через SSH.

  • #18332

    Michael
    Участник

    Last ???

  • #18333

    Леша Кравченко
    Участник
  • #18334

    uxTuaHgp
    Участник

    Аудит — это круто, но в приложении к логонам SSH он пожалуй не нужен.

    Нужно настроить syslogd
    Дописать строчку типа
    auth.debug /var/adm/authlog rotate size 1m files 4

    Создать пустые файлы логов, а то он сам бедолага не умеет.
    И сделать чтобы syslogd запускался при старте системы.

  • #18335

    Eigen
    Участник

    Это работает. Но, фиксируются события только типа login, logout — не фиксируется.
    Нужно отлавливать и то и другое.

  • #18336

    uxTuaHgp
    Участник

    Тогда копайте аудит

  • #18337

    uxTuaHgp
    Участник

    У меня работает.
    auditselect -e «event==SSH_connclose» /audit/bin2 |auditpr -h e,c,l,r,p,R,t,h -v
    event command login real process status time host
    ————— ——————————- ——— ——— ——— ———— ———————— —————-
    SSH_connclose sshd root root 4523130 OK Wed May 15 19:29:04 2013 NONE
    audit event euid 0 user root event 11 (SSH_connclose)

    /etc/security/audit/config
    classes:

    ssh = USER_SU,SSH_failpasswd,SSH_failkbdint,SSH_failpubkey,SSH_failhstbsd,SSH_failgssapi,SSH_invldusr,SSH_nologin,SSH_connclose,SSH_auditknwn,SSH_authsuccess,SSH_rootdned,SSH_exceedmtrix,SSH_connabndn

    users:
    root = ssh,lvm,tcpip
    user1 = ssh

  • #18338

    andrewk
    Участник

    на DeveloperWorks была статья про аудит применительно к OpenSSH.

  • #18339

    andrewk
    Участник
  • #18394

    Eigen
    Участник

    После изменения config — (class + users)

    /usr/sbin/audit shutdown
    auditing reset
    /usr/sbin/audit start
    ** failed setting kernel audit objects

    Вот такая ошибка.

  • #18398

    andrewk
    Участник

    значит у Вас ошибки в конфигах аудита.

  • #18399

    Eigen
    Участник

    Нашёл, спасибо.
    Действительно copy/paste в vi нужно с умом.

  • #19304

    У меня работает.
    auditselect -e «event==SSH_connclose» /audit/bin2 |auditpr -h e,c,l,r,p,R,t,h -v
    event command login real process status time host
    ————— ——————————- ——— ——— ——— ———— ———————— —————-
    SSH_connclose sshd root root 4523130 OK Wed May 15 19:29:04 2013 NONE
    audit event euid 0 user root event 11 (SSH_connclose)

    /etc/security/audit/config
    classes:

    ssh = USER_SU,SSH_failpasswd,SSH_failkbdint,SSH_failpubkey,SSH_failhstbsd,SSH_failgssapi,SSH_invldusr,SSH_nologin,SSH_connclose,SSH_auditknwn,SSH_authsuccess,SSH_rootdned,SSH_exceedmtrix,SSH_connabndn

    users:
    root = ssh,lvm,tcpip
    user1 = ssh

    Уважаемые коллеги!

    Как расшифровывается содержание этих событий?
    А именно: SSH_failnone, SSH_failpasswd,SSH_failkbdint,SSH_failpubkey, SSH_failhstbsd,
    SSH_failgssapi, SSH_invldusr,SSH_nologin, SSH_connclose,SSH_auditknwn, SSH_rootdned,
    SSH_exceedmtrix,SSH_connabndn, SSH_authsuccess

    Если с SSH_failpasswd — понятно, то что такое, например SSH_failnon?
    Спасибо!

  • #19306

    andrewk
    Участник

    это, пожалуй, единственная статья, в которой вообще говорится об этих событиях. все остальное можно почерпнуть только из исходного кода OpenSSH 😉 только не vanilla OpenSSH, а IBM’овских патчей к нему.
    http://www.ibm.com/developerworks/aix/library/au-new_openssh/

  • #19311

    Привожу расшифровку — вторичная итерация, возможно пригодиться.

    SSH_failnone = printf «%s» При попытке входа соединение SSH было установлено без ошибок (осуществлен успешный вход в систему)
    SSH_failpasswd = printf «%s» При попытке входа в систему был введен неправильный пароль
    SSH_failkbdint = printf «%s» При попытке входа не была пройдена аутентификация посредством интерактивной авторизации через клавиатурный ввод — Failed Keyboard Interactive authentication.
    Дополнительно. Keyboard-Interactive authentication — это настраиваемый метод аутентификации, который может быть использован для применения различных типов механизмов аутентификации. Данный вид аутентификации использует метод аутентификации через ввод данных с клавиатуры. Необходимо ввести пароль (не отображается при вводе). Интерактивная авторизация не производится, если введен неправильный пароль с клавиатуры. Соединение также закрывается по таймауту. Небольшое время ожидания ответа установлено для ограничения попыток перебора паролей. Доступ к серверу блокируется на некоторое время при трех неудачных попытках соединения.
    SSH_failpubkey = printf «%s» При попытке входа в систему предложенный открытый ключ (public key) был отклонен
    SSH_failhstbsd = printf «%s» При попытке входа не была пройдена аутентификация посредством доверенного хоста — Failed Host-based authentication. Попытка входа в систему с неразрешенного хоста
    SSH_failgssapi = printf «%s» При попытке входа в систему доступ был запрещен по GSS-API (GSS, GSSAPI, англ. Generic Security Services API, общий программный интерфейс сервисов безопасности)
    SSH_invldusr = printf «%s» Попытка входа в систему с учетной записью несуществующего пользователя
    SSH_nologin = printf «%s» При попытке входа в систему под учетной записью пользователя (отличной от root) доступ был запрещен.
    При условии, что в системе создан файл /etc/nologin, который блокирует доступ всех пользователей, кроме root.
    SSH_connclose = printf «%s» Сессия пользователя была закрыта, пользователь вышел из системы
    SSH_auditknwn = printf «%s» Попытка входа в систему занесена в /var/log/audit/audit.log
    SSH_authsuccess = printf «%s» Пользователь успешно прошел авторизацию в системе
    SSH_rootdned = printf «%s» Доступ с учетной записью пользователя root запрещен
    SSH_exceedmtrix = printf «%s» Превышен порог попыток входа в систему
    SSH_connabndn = printf «%s» Соединение (пользовательская сессия) было прервано

  • #19319

    MIkhail
    Участник

    Добавлю от себя.
    Недавно настраивал данную тему, но надо собирать всевозможные события.
    Очень понравилась возможность vlog устройства, это когда audit пишет на виртуальное устройство внутри VIOS. Таким образом можно ограничить доступ злоумышленику к логам и просотреть все логи со всех LPAR в VIOS. А если еще собрать кластер из VIOS то со множества серверо и все в одном месте.

  • #19325

    andrewk
    Участник

    не собирайте кластер для vlog’а — это не нужно. Если по какой-то причине очень сильно захотелось использовать PowerSC Trusted Logging, то:

    а) создаем логгинг-девайс на 1м VIOS’е и запоминаем его UUID
    б) создаем логгинг-девайс на 2м VIOS’е ровно с тем же UUID, что и на 1м
    в) запускаем cfgmgr на AIX’е, любуемся на вывод lspath.
    г) настраиваем сбор логов с обеих VIOS’ов на центральный лог-сервер или в SIEM, где и объединяем логи.

    Минус подобной конфигурации — логи пишутся в один момент времени только один VIOS. На 2й они будут писаться только в случае пропадания первого (failover). Round-robin не настроить, приоритеты разным путям тоже не задать — но такие же проблемы есть и у конфигурации с SSP/VIO Cluster. Плюс — не надо настраивать кластер и SSP на VIOS’е (что иногда ведет к краху VIOS’ов 😉

Для ответа в этой теме необходимо авторизоваться.