Hallo zusammen, ich muss hin und wieder einem 3rd Party Supporter zu einem Server gehen auf dem er als root arbeiten darf/muss. Der kann also alles das ist mir klar. Somit bin ich auf das Vertrauen und Verträge angewiesen. Ich würde gern, trotz des grundsätzlich vorhandenen Vertrauens, mit bekommen WAS gemacht wurde. Daher meine Frage: habe ich ein Chance alles zu protokollieren was der Supporter macht? Der Zugang erfolgt entwerder per ssh auf der Konsole oder per NX. Ich habe tools wie "script" gefunden aber dieses erfüllt leider nicht = den Zweck. Ich meine mich aber schwach zu erinneren dass es für sowas ein forensisches tool gibt. Mir ist natürlich klar das alles was protokolliert wird von root auch manipuliert werden kann, da komme ich aber nicht rum rum solange ich root Rechte vergeben muss. Schon jetzt vielen Dank Viele Grüße Michael -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 29. November 2010 16:36 schrieb Michael <ml@akazia.de>:
Daher meine Frage: habe ich ein Chance alles zu protokollieren was der Supporter macht? Der Zugang erfolgt entwerder per ssh auf der Konsole oder per NX.
man sudo man sudoers Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo auch sudo habe ich mir natürlich angesehen, vielen Dank für den Hinweis - da ich aber nicht spezifizieren was exakt ausgeführt werden darf kann ich so nicht eingrenzen. Eine Protokollfuntktion haben ich nicht gefunden die mir alles zeigt was vom 3rd Party Supporter ausgeführt wird. Was ist z.b. mit "sudo su" wie kriege ich da alles mit? Dann das was ist wenn ich per NX reinkomme und Änderungen z.b. via der yast gui vorgenommen werden?? Viele Grüße Michael Am 29. November 2010 16:38 schrieb Martin Schröder <martin@oneiros.de>:
Am 29. November 2010 16:36 schrieb Michael <ml@akazia.de>:
Daher meine Frage: habe ich ein Chance alles zu protokollieren was der Supporter macht? Der Zugang erfolgt entwerder per ssh auf der Konsole oder per NX.
man sudo man sudoers
Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 29. November 2010 16:55 schrieb Michael <ml@akazia.de>:
Hinweis - da ich aber nicht spezifizieren was exakt ausgeführt werden darf kann ich so nicht eingrenzen. Eine Protokollfuntktion haben ich
Dann hast Du ein Problem und mußt ihm vertrauen.
nicht gefunden die mir alles zeigt was vom 3rd Party Supporter ausgeführt wird. Was ist z.b. mit "sudo su" wie kriege ich da alles
sudo kann loggen. "sudo su" oder "sudo -i" müßtest Du dann abklemmen. Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 29.11.2010 16:36, schrieb Michael:
Hallo zusammen,
Mir ist natürlich klar das alles was protokolliert wird von root auch manipuliert werden kann, da komme ich aber nicht rum rum solange ich root Rechte vergeben muss.
1) Es gibt Tools die alles mitschreiben wobei dann natürlich ein Syslogserver mit im Spiel sein sollte. 2) Das System virtualisieren und Kopie und Original nachher mit geeigneten Verfahren vergleichen? Gruß Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 EMail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 Für die Erstellung unserer Dokumente benutzen wir die Produkte aus dem Microsoft Office 2007 Paket. Sollte sich ein Anhang in der Mail befinden, der mit einer älteren Office Version nicht geöffnet werden kann, installieren Sie bitte das Compatibility Pack für Office 2007. http://www.microsoft.com/downloads/details.aspx?FamilyID=941b3470-3ae9-4aee-... -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Ralf,
Es gibt Tools die alles mitschreiben wobei dann natürlich ein Syslogserver mit im Spiel sein sollte. In die Richtung syslog such ich gerade. Kann man den syslogd überreden alles was ein bestimmter user und root aussführt zu protokollieren, idealerweise in eine eigene Datei?
Das System virtualisieren und Kopie und Original nachher mit geeigneten Verfahren vergleichen? Ich muss gestehen da ich das System neu auf gesetzt habe, hatte ich über sowas nachgedacht, es gibt ja auch eine Menge Infos dazu aber das ist dann ehr das Thema "Kanonen" davon habe ich Abstand genommen.
Viele Grüße Michael -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 29.11.2010 16:36, schrieb Michael: rensisches tool gibt.
Mir ist natürlich klar das alles was protokolliert wird von root auch manipuliert werden kann, da komme ich aber nicht rum rum solange ich root Rechte vergeben muss.
Nachtrag: Vielleich findet sich was in den diversen Honig-Topf-Prohjekten". Gruß Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 EMail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 Für die Erstellung unserer Dokumente benutzen wir die Produkte aus dem Microsoft Office 2007 Paket. Sollte sich ein Anhang in der Mail befinden, der mit einer älteren Office Version nicht geöffnet werden kann, installieren Sie bitte das Compatibility Pack für Office 2007. http://www.microsoft.com/downloads/details.aspx?FamilyID=941b3470-3ae9-4aee-... -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag, 29. November 2010 16:36 schrieb Michael:
ich muss hin und wieder einem 3rd Party Supporter zu einem Server gehen auf dem er als root arbeiten darf/muss. Der kann also alles das ist mir klar. Somit bin ich auf das Vertrauen und Verträge angewiesen. Ich würde gern, trotz des grundsätzlich vorhandenen Vertrauens, mit bekommen WAS gemacht wurde.
SamHain wäre eine Möglichkeit sämtliche Dateien zu überwachen... Keylogger usw. könnten da auch helfen, aber das könnte auch Illegal sein!!!
Daher meine Frage: habe ich ein Chance alles zu protokollieren was der Supporter macht? Der Zugang erfolgt entwerder per ssh auf der Konsole oder per NX.
Per SSH siehst Du ja in der Bash History was so gemacht wurde. Klar kann er irgendwie leer machen, aber das wäre schonmal ein Indiz für unsauberes arbeiten. SUDO wurde ja schon genannt, lasse Dir doch von dem Typen genau beschreiben was er braucht bzw. machen will?! HTH Andre -- Equal bytes for women. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Michael <ml@akazia.de> writes:
Hallo zusammen,
ich muss hin und wieder einem 3rd Party Supporter zu einem Server gehen auf dem er als root arbeiten darf/muss. Der kann also alles das ist mir klar. Somit bin ich auf das Vertrauen und Verträge angewiesen. Ich würde gern, trotz des grundsätzlich vorhandenen Vertrauens, mit bekommen WAS gemacht wurde.
Daher meine Frage: habe ich ein Chance alles zu protokollieren was der Supporter macht? Der Zugang erfolgt entwerder per ssh auf der Konsole oder per NX.
Wenn du es schaffst, ihm auf der Shell screen unzujubeln, kannst du dich mit screen -x an seine Shell anhängen und sehen, was da gemacht wird. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:8EF7B6C6 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (5)
-
Andre Heine -
Dieter Kluenter -
Martin Schröder -
Michael -
Ralf Prengel