Аудит событий в AIX

Главная Форумы POWER Systems AIX/Hardware Аудит событий в AIX

Просмотр 16 веток ответов
  • Автор
    Сообщения
    • #18331
      Eigen
      Участник

      Добрый день, коллеги

      Вопрос в том, как правильно настроить протоколирование событий входа (локально и удаленно) и выхода пользователей в ОС AIX с помощью подсистемы аудита (Audit).

      Интересуют события удалённых Login/Logoff через SSH.

    • #18332
      Michael
      Участник

      Last ???

    • #18333
      Леша Кравченко
      Участник
    • #18334
      uxTuaHgp
      Участник

      Аудит – это круто, но в приложении к логонам SSH он пожалуй не нужен.

      Нужно настроить syslogd
      Дописать строчку типа
      auth.debug /var/adm/authlog rotate size 1m files 4

      Создать пустые файлы логов, а то он сам бедолага не умеет.
      И сделать чтобы syslogd запускался при старте системы.

    • #18335
      Eigen
      Участник

      Это работает. Но, фиксируются события только типа login, logout – не фиксируется.
      Нужно отлавливать и то и другое.

    • #18336
      uxTuaHgp
      Участник

      Тогда копайте аудит

    • #18337
      uxTuaHgp
      Участник

      У меня работает.
      auditselect -e “event==SSH_connclose” /audit/bin2 |auditpr -h e,c,l,r,p,R,t,h -v
      event command login real process status time host
      ————— ——————————- ——– ——– ——– ———– ———————— —————-
      SSH_connclose sshd root root 4523130 OK Wed May 15 19:29:04 2013 NONE
      audit event euid 0 user root event 11 (SSH_connclose)

      /etc/security/audit/config
      classes:

      ssh = USER_SU,SSH_failpasswd,SSH_failkbdint,SSH_failpubkey,SSH_failhstbsd,SSH_failgssapi,SSH_invldusr,SSH_nologin,SSH_connclose,SSH_auditknwn,SSH_authsuccess,SSH_rootdned,SSH_exceedmtrix,SSH_connabndn

      users:
      root = ssh,lvm,tcpip
      user1 = ssh

    • #18338
      andrewk
      Участник

      на DeveloperWorks была статья про аудит применительно к OpenSSH.

    • #18339
      andrewk
      Участник
    • #18394
      Eigen
      Участник

      После изменения config – (class + users)

      /usr/sbin/audit shutdown
      auditing reset
      /usr/sbin/audit start
      ** failed setting kernel audit objects

      Вот такая ошибка.

    • #18398
      andrewk
      Участник

      значит у Вас ошибки в конфигах аудита.

    • #18399
      Eigen
      Участник

      Нашёл, спасибо.
      Действительно copy/paste в vi нужно с умом.

    • #19304

      У меня работает.
      auditselect -e “event==SSH_connclose” /audit/bin2 |auditpr -h e,c,l,r,p,R,t,h -v
      event command login real process status time host
      ————— ——————————- ——– ——– ——– ———– ———————— —————-
      SSH_connclose sshd root root 4523130 OK Wed May 15 19:29:04 2013 NONE
      audit event euid 0 user root event 11 (SSH_connclose)

      /etc/security/audit/config
      classes:

      ssh = USER_SU,SSH_failpasswd,SSH_failkbdint,SSH_failpubkey,SSH_failhstbsd,SSH_failgssapi,SSH_invldusr,SSH_nologin,SSH_connclose,SSH_auditknwn,SSH_authsuccess,SSH_rootdned,SSH_exceedmtrix,SSH_connabndn

      users:
      root = ssh,lvm,tcpip
      user1 = ssh

      Уважаемые коллеги!

      Как расшифровывается содержание этих событий?
      А именно: SSH_failnone, SSH_failpasswd,SSH_failkbdint,SSH_failpubkey, SSH_failhstbsd,
      SSH_failgssapi, SSH_invldusr,SSH_nologin, SSH_connclose,SSH_auditknwn, SSH_rootdned,
      SSH_exceedmtrix,SSH_connabndn, SSH_authsuccess

      Если с SSH_failpasswd – понятно, то что такое, например SSH_failnon?
      Спасибо!

    • #19306
      andrewk
      Участник

      это, пожалуй, единственная статья, в которой вообще говорится об этих событиях. все остальное можно почерпнуть только из исходного кода OpenSSH 😉 только не vanilla OpenSSH, а IBM’овских патчей к нему.
      http://www.ibm.com/developerworks/aix/library/au-new_openssh/

    • #19311

      Привожу расшифровку – вторичная итерация, возможно пригодиться.

      SSH_failnone = printf “%s” При попытке входа соединение SSH было установлено без ошибок (осуществлен успешный вход в систему)
      SSH_failpasswd = printf “%s” При попытке входа в систему был введен неправильный пароль
      SSH_failkbdint = printf “%s” При попытке входа не была пройдена аутентификация посредством интерактивной авторизации через клавиатурный ввод – Failed Keyboard Interactive authentication.
      Дополнительно. Keyboard-Interactive authentication – это настраиваемый метод аутентификации, который может быть использован для применения различных типов механизмов аутентификации. Данный вид аутентификации использует метод аутентификации через ввод данных с клавиатуры. Необходимо ввести пароль (не отображается при вводе). Интерактивная авторизация не производится, если введен неправильный пароль с клавиатуры. Соединение также закрывается по таймауту. Небольшое время ожидания ответа установлено для ограничения попыток перебора паролей. Доступ к серверу блокируется на некоторое время при трех неудачных попытках соединения.
      SSH_failpubkey = printf “%s” При попытке входа в систему предложенный открытый ключ (public key) был отклонен
      SSH_failhstbsd = printf “%s” При попытке входа не была пройдена аутентификация посредством доверенного хоста – Failed Host-based authentication. Попытка входа в систему с неразрешенного хоста
      SSH_failgssapi = printf “%s” При попытке входа в систему доступ был запрещен по GSS-API (GSS, GSSAPI, англ. Generic Security Services API, общий программный интерфейс сервисов безопасности)
      SSH_invldusr = printf “%s” Попытка входа в систему с учетной записью несуществующего пользователя
      SSH_nologin = printf “%s” При попытке входа в систему под учетной записью пользователя (отличной от root) доступ был запрещен.
      При условии, что в системе создан файл /etc/nologin, который блокирует доступ всех пользователей, кроме root.
      SSH_connclose = printf “%s” Сессия пользователя была закрыта, пользователь вышел из системы
      SSH_auditknwn = printf “%s” Попытка входа в систему занесена в /var/log/audit/audit.log
      SSH_authsuccess = printf “%s” Пользователь успешно прошел авторизацию в системе
      SSH_rootdned = printf “%s” Доступ с учетной записью пользователя root запрещен
      SSH_exceedmtrix = printf “%s” Превышен порог попыток входа в систему
      SSH_connabndn = printf “%s” Соединение (пользовательская сессия) было прервано

    • #19319
      MIkhail
      Участник

      Добавлю от себя.
      Недавно настраивал данную тему, но надо собирать всевозможные события.
      Очень понравилась возможность vlog устройства, это когда audit пишет на виртуальное устройство внутри VIOS. Таким образом можно ограничить доступ злоумышленику к логам и просотреть все логи со всех LPAR в VIOS. А если еще собрать кластер из VIOS то со множества серверо и все в одном месте.

    • #19325
      andrewk
      Участник

      не собирайте кластер для vlog’а – это не нужно. Если по какой-то причине очень сильно захотелось использовать PowerSC Trusted Logging, то:

      а) создаем логгинг-девайс на 1м VIOS’е и запоминаем его UUID
      б) создаем логгинг-девайс на 2м VIOS’е ровно с тем же UUID, что и на 1м
      в) запускаем cfgmgr на AIX’е, любуемся на вывод lspath.
      г) настраиваем сбор логов с обеих VIOS’ов на центральный лог-сервер или в SIEM, где и объединяем логи.

      Минус подобной конфигурации – логи пишутся в один момент времени только один VIOS. На 2й они будут писаться только в случае пропадания первого (failover). Round-robin не настроить, приоритеты разным путям тоже не задать – но такие же проблемы есть и у конфигурации с SSP/VIO Cluster. Плюс – не надо настраивать кластер и SSP на VIOS’е (что иногда ведет к краху VIOS’ов 😉

Просмотр 16 веток ответов
  • Для ответа в этой теме необходимо авторизоваться.