我们身处银行环境,我们的核心系统基于 AIX。多个用户同时使用 SSH 使用相同的用户 ID 登录。我知道我可以看到谁从哪个 IP 通过 SSH 进入系统,但问题是我们如何审核每个使用此默认用户 ID 的用户在其会话期间做了什么。
问题是,即使在我们联系了供应商之后,这个核心系统仍然以这种方式工作。审核每个用户在同一时间登录时使用此用户 ID 执行的操作非常重要。有没有办法区分用户的会话 ID?
答案1
多个用户使用 SSH 同时使用同一用户 ID 登录。
老实说,最简单的解决办法可能是安排每个人使用自己的用户 ID 登录并以这种方式完成工作。如果他们需要以特定用户身份运行应用程序,则可以让他们通过 sudo 运行命令,如下所示:
sudo -u <groupusername> /path/to/command.
如果 sudo 设置正确,并且 sudo 有一些相当好的扩展日志记录可用,这会将操作记录在系统日志中。
你可以得到真的使用 sudo 进行细化。这对此非常有用。
如果没有别的办法,您可以设置工作流程,让人们通过 ssh 进入服务器,然后使用 sudo su - 这将使您有更好的机会随着时间的推移跟踪他们。
设置历史文件的问题在于,它可能会被用户轻易地破坏,因为它是由该用户拥有的。
来自一个简短的阅读 AIX 审核后,它看起来会审核每个用户而不是每个登录。然而 ICBW 对此有所了解。我还是会打开它。
所以在我看来(虽然我不把自己当作证券来推销)专家,我确实有 CISSP 并保持与该认证相关的继续教育)您需要与您的安全部门联系并确定需要满足哪些合规标准(如果有)(在美国,我希望银行能够必须见面至少Dodd-Frank、PCI 和 SoX),以及需要采取哪些措施才能使您的系统符合这些要求。
然后,我会将这份清单交给管理层,并解释说,在当今的环境中,这些并不是真正的可选选择,如果您不遵守规定,并让他们决定如何继续前进,可能会征收相当昂贵的罚款/费用。
与此同时,我会将所有日志记录增加到 11,并开始在其中爬行,寻找将其告诉我的内容关联起来的方法。在 AIX 上,尤其是在启用审计的情况下可能能够比较多个日志文件中的事件。
作为一个简单的例子,很久以前,我接到一个技术支持电话,想知道为什么某个特定的服务器“崩溃”了。我花了大约 30 秒挖掘日志,发现在 T - 5 时有人以“root”身份登录(打开该帐户是个坏主意),然后发出了关闭命令。
“哦。那一定是我的搭档。没关系。” “我可以结案吗?” “是的”。
问题是,如果你最终卷入刑事案件,而你的相关性是证据的一部分……哦,天哪。我不想处于那个位置。
答案2
我有两个建议:
设置单独的历史文件,例如:
HISTFILE=$HOME/.sh_history.$$
或使用 $SSH_CONNECTION 或其他环境变量的一些变体。
- 使能够AIX 审计。
如果足够重要,您可以将第三方工具连接到审核系统,以将命令执行卸载到远程系统。否则,本地管理员可以撤消这些建议中的任何一个。
答案3
我推荐以下喜欢的
http://www.ibm.com/developerworks/aix/library/au-audit_filter/ www.redbooks.ibm.com/redbooks/pdfs/sg246020.pdf(红皮书)
您还可以配置 IBM 审计子系统。 https://www.netiq.com/documentation/change-guardian/changeguardianuserguide/data/b13v6jsc.html
您还可以在 /etc/profile 中使用如下几行指定它们的历史文件: HISTSIZE=10000 mkdir -p $HOME/.history HISTFILE=$HOME/.history/.history.$(date +%Y%m %d.%H%M%S).$$ 这会将 10,000 个事件保留在一个唯一命名的历史文件中,并在文件名中包含这些事件的登录日期。
我希望这些提示对您有所帮助。
问候。 AL