Auditing und Logging unter OpenSolaris

Dieses Thema im Forum "Opensolaris" wurde erstellt von cosmo111, 19.11.2009.

  1. #1 cosmo111, 19.11.2009
    cosmo111

    cosmo111 Grünschnabel

    Dabei seit:
    19.11.2009
    Beiträge:
    4
    Zustimmungen:
    0
    Hi!

    Ich schreibe im Rahmen meines Studiums eine Ausarbeitung über die Möglichkeiten des Auditing und Logging unter OpenSolaris.

    Bisher habe ich mich mit SolarisAuditing, BART, typescript, DTrace inkl. dem DTraceToolkit und Syslog beschäftigt.

    Soweit ich weiß, soll es einen SSH-Server geben, der die Möglichkeit bietet sämtliche gemachten Eingaben mitzuloggen und nicht nur die Logins und Logouts usw? Wenn dazu jemand nähere Angaben machen kann wäre das super. Werde da irgendwie nicht so richtig fündig.

    Außerdem würde ich gerne XEvents mitloggen. Es soll mit dem Tool "xev" deutlich besser gehen als mit dem systemeigenen SolarisAuditing. Hat da jemand zufällig schon Erfahrungen gemacht oder irgendwelche Anregungen?

    Bedanke mich schon mal vorab für eventuelle Tipps oder Denkanstöße.

    Falls jemand übrigens noch irgendwas interessantes in Bezug auf Auditing und Logging unter OpenSolaris beizutragen hat. Ich bin für alle neuen Ideen offen. ;)
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. hex

    hex Lebende Foren Legende
    Moderator

    Dabei seit:
    10.12.2003
    Beiträge:
    1.775
    Zustimmungen:
    0
    Ort:
    Stuttgart
    Ich denke jede Eingabe zu loggen ist rechtlich nicht unbedingt unproblematisch. Es muss auch Grenzen haben. :brav:

    Solaris Auditing bietet schon genug Möglichkeiten, wie ich finde. Siehe auch http://cuddletech.com/blog/pivot/entry.php?id=1081 (vielleicht findest hier noch einige Denkanstöße für deine Ausarbeitung)

    Auditing soll ja helfen Probleme zu lösen und nicht User zu überwachen. ;)

    mfg
     
  4. #3 cosmo111, 19.11.2009
    Zuletzt bearbeitet: 19.11.2009
    cosmo111

    cosmo111 Grünschnabel

    Dabei seit:
    19.11.2009
    Beiträge:
    4
    Zustimmungen:
    0
    Hi!

    Den Link werde ich mir gleich mal anschauen.

    Die rechtliche Seite ist natürlich auch ein Aspekt, den ich klein wenig beleuchten möchte und wo ich noch drauf eingehen werde. Dazu muss ich nur noch die passenden Seiten finden. In dieser Richtung habe ich bis dato noch gar nichts. ^^

    Und zu dem Thema SSH-Logging wurde ich inzwischen fündig nach endlos langem googeln und Durchstöbern von Foren. ;)

    OpenSSH ist in OpenSolaris wohl als reguläres SSH implementiert und darin lässt sich wohl eine eigene Shell zuweisen in einem der Konfigurationsskripte. Diese muss nur zu den erlaubten Shells von OpenSSH hinzugefügt werden. Ich jetzt mal versuchen mir ein kleines Skript zu schreiben was wie eine Shell arbeitet und die Kommandos entsprechend ausführt, aber sämtliche eingegebene Befehle mit Usernamen und Datum mitloggt. GLaube, das könnte funktionieren. Naja, mal sehen.

    Nur mit diesem "xev" stehe ich noch auf dem Schlauch. ^^


    @edit

    Den Blog hatte ich auch schon gefunden, aber das Kapitel noch nicht betrachtet. Mal sehen, dass meiste scheine ich durch das ebook von Sun über SolarisAuditing schon zu kennen, aber ich arbeite den nochmal gründlich durch. Dennoch thx! =)
     
  5. #4 cosmo111, 24.11.2009
    cosmo111

    cosmo111 Grünschnabel

    Dabei seit:
    19.11.2009
    Beiträge:
    4
    Zustimmungen:
    0
    Hi!

    Habe da nochmal eine Frage. Gibt es irgendwo Info's wie man bei so einer forensischen Analyse vorgeht? Bzw. welche Tools für was gut sind?

    Mit BART beispielsweise kann man herausfinden, welche Auswirkungen bestimmte Aktionen bzw. High-Level-Kommandos auf die Dateien hatten. Man sieht also direkt die Veränderungen auf der unteren Ebene im Dateisystem.

    DTrace bietet anscheinend eine Art Zwischenelement. Es lassen sich zum Teil Veränderungen herausfinden, aber überwiegend lassen sich die Aktionen, die zu den Veränderungen im Dateisystem geführt haben mitloggen und analysieren.

    Und SolarisAuditing dient wohl überwiegend zum loggen der Aktionen. Also eher ein Tool für die obere Ebene. Es lässt sich damit zwar herausfinden was vorgefallen ist, aber nicht welche Auswirkungen dies auf das Dateisystem usw hatte.

    Gibt es dazu irgendwo nähere Informationen? Wie die Tools im einzelnen eingesetzt werden. Vielleicht eine Studie oder so? Würde gerne die Abgrenzung der einzelnen Tools näher defininieren und Grenzen aufzeigen.

    Thx schon mal im Voraus!
     
  6. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
Thema:

Auditing und Logging unter OpenSolaris

Die Seite wird geladen...

Auditing und Logging unter OpenSolaris - Ähnliche Themen

  1. Artikel: Mobile Blogging-App mit DreamFactory, WordPress und Mailgun, Teil 2

    Artikel: Mobile Blogging-App mit DreamFactory, WordPress und Mailgun, Teil 2: Dieses Tutorium beschreibt Schritt für Schritt die Erstellung einer mobilen Blogging-App, die auf WordPress und Mailgun zugreift, mit...
  2. Artikel: Mobile Blogging-App mit DreamFactory, WordPress und Mailgun, Teil 1

    Artikel: Mobile Blogging-App mit DreamFactory, WordPress und Mailgun, Teil 1: Dieses Tutorium beschreibt Schritt für Schritt die Erstellung einer mobilen Blogging-App, die auf WordPress und Mailgun zugreift, mit...
  3. Löschscript mit Logging

    Löschscript mit Logging: Hallo zusammen, ich versuche derzeit ein shell script zu schreiben was die caches unserer Anwendungen wegräumt. Dabei soll es alle Dateien/Ordner...
  4. NIELD (Network Interface Events Logging Daemon) 0.3.0

    NIELD (Network Interface Events Logging Daemon) 0.3.0: Network Interface Events Logging Daemon is a tool that receives notifications from the kernel through the rtnetlink socket, and generates logs...
  5. NIELD (Network Interface Events Logging Daemon) 0.23

    NIELD (Network Interface Events Logging Daemon) 0.23: Network Interface Events Logging Daemon is a tool that receives notifications from the kernel through the rtnetlink socket, and generates logs...