用 eash 实现 linux 的 shell 审计
【原文见 http://www.mshtyu.com/read.php?69】大家都还记得安然吧,这个美国企业的倒闭,催生了SOX法案,强制要求上市公司对内部审计加强管理,包括内部IT治理。企业linux系统如果超过一定数量,管理员们肯定会碰到一个问题:当发生人为事故的时候,怎么才能知道这些问题是怎么发生的、是谁引起的呢?例如,某个人su到root,然后rm / -rf 了…… 先别冒汗,当主机超过1000台时,这种事情会经常发生。本文介绍一个软件包实现对linux shell的集中审计——enterprise audit shell
【软件包的获取】
eash软件包的作者是 [email protected] ,这里下载,sourceforge,freshmeat。如果都找不到,你可以去mandriva(以前的mandrake)的软件包里面去找。
【软件功能特性】
1。符合COBIT标准
2。ITIL的最佳技术实现
3。Unix主机使用的企业级视图
4。符合SOX法案的企业级审计报告工具
5。审计报告可通过CSS定制
6。内置事务型数据传送,支持SQL92关系数据库,兼容ACID
7。可负载均衡
8。SSL加密传输
9。SSL公钥体系认证
10。文件传输、远程命令执行审计
11。用户默认shell可独立配置
12。审计日志带数字签名防止篡改
13。客户端、服务器端可配置,便于管理
14。会话超时机制
15。会话初始时显示企业策略信息
【软件工作原理】
参考下图:
http://www.mshtyu.com/attachment/200611/1163410444_0.jpg
eash是个shell的外壳,把它作为用户的login_shell
http://www.mshtyu.com/attachment/200611/1163410575_0.jpg
/etc/eas/eash_config 可以指定它调用的shell、logserver(可多个)、客户端登陆时的banner等
http://www.mshtyu.com/attachment/200611/1163410657_0.jpg
在server端,比较关键的是Sync,可以有退出同步、行同步(未测试成功)、全同步(低效,但可以实时看到客户端操作)
http://www.mshtyu.com/attachment/200611/1163410696_0.jpg
主要数据保存在sqlite数据库中,每次操作的session保存在日志文件中,可以用 eas_replay进行回放:
http://www.mshtyu.com/attachment/200611/1163410731_0.jpg
eas_replay ID 即可观看该ID的session整个console的输入输出,象动画一样,:)
eas_report 可生成简单报表:
http://www.mshtyu.com/attachment/200611/1163410731_0.jpg
【eash的bug和不足】
1。对sz/rz的支持先天不足,zmodem协议的问题;
2。对scp到被审计的server会引起sshd刮起,是sshd的bug,可修正;
3。session数据的动画方式可移植性不好
4。前端视图不足(开源嘛~)
其他的问题,有兴趣的可以跟我联系, 你好请问scp问题如何解决?
页:
[1]