Auditing und Logging unter OpenSolaris

[cosmo111]

Hi!

Ich schreibe im Rahmen meines Studiums eine Ausarbeitung über die Möglichkeiten des Auditing und Logging unter OpenSolaris.

Bisher habe ich mich mit SolarisAuditing, BART, typescript, DTrace inkl. dem DTraceToolkit und Syslog beschäftigt.

Soweit ich weiß, soll es einen SSH-Server geben, der die Möglichkeit bietet sämtliche gemachten Eingaben mitzuloggen und nicht nur die Logins und Logouts usw? Wenn dazu jemand nähere Angaben machen kann wäre das super. Werde da irgendwie nicht so richtig fündig.

Außerdem würde ich gerne XEvents mitloggen. Es soll mit dem Tool "xev" deutlich besser gehen als mit dem systemeigenen SolarisAuditing. Hat da jemand zufällig schon Erfahrungen gemacht oder irgendwelche Anregungen?

Bedanke mich schon mal vorab für eventuelle Tipps oder Denkanstöße.

Falls jemand übrigens noch irgendwas interessantes in Bezug auf Auditing und Logging unter OpenSolaris beizutragen hat. Ich bin für alle neuen Ideen offen.

 

[hex]

Ich denke jede Eingabe zu loggen ist rechtlich nicht unbedingt unproblematisch. Es muss auch Grenzen haben.

Solaris Auditing bietet schon genug Möglichkeiten, wie ich finde. Siehe auch http://cuddletech.com/blog/pivot/entry.php?id=1081 (vielleicht findest hier noch einige Denkanstöße für deine Ausarbeitung)

Auditing soll ja helfen Probleme zu lösen und nicht User zu überwachen.

mfg

 

[cosmo111]

Hi!

Den Link werde ich mir gleich mal anschauen.

Die rechtliche Seite ist natürlich auch ein Aspekt, den ich klein wenig beleuchten möchte und wo ich noch drauf eingehen werde. Dazu muss ich nur noch die passenden Seiten finden. In dieser Richtung habe ich bis dato noch gar nichts. ^^

Und zu dem Thema SSH-Logging wurde ich inzwischen fündig nach endlos langem googeln und Durchstöbern von Foren.

OpenSSH ist in OpenSolaris wohl als reguläres SSH implementiert und darin lässt sich wohl eine eigene Shell zuweisen in einem der Konfigurationsskripte. Diese muss nur zu den erlaubten Shells von OpenSSH hinzugefügt werden. Ich jetzt mal versuchen mir ein kleines Skript zu schreiben was wie eine Shell arbeitet und die Kommandos entsprechend ausführt, aber sämtliche eingegebene Befehle mit Usernamen und Datum mitloggt. GLaube, das könnte funktionieren. Naja, mal sehen.

Nur mit diesem "xev" stehe ich noch auf dem Schlauch. ^^


@edit

Den Blog hatte ich auch schon gefunden, aber das Kapitel noch nicht betrachtet. Mal sehen, dass meiste scheine ich durch das ebook von Sun über SolarisAuditing schon zu kennen, aber ich arbeite den nochmal gründlich durch. Dennoch thx! =)

 

[cosmo111]

Hi!

Habe da nochmal eine Frage. Gibt es irgendwo Info's wie man bei so einer forensischen Analyse vorgeht? Bzw. welche Tools für was gut sind?

Mit BART beispielsweise kann man herausfinden, welche Auswirkungen bestimmte Aktionen bzw. High-Level-Kommandos auf die Dateien hatten. Man sieht also direkt die Veränderungen auf der unteren Ebene im Dateisystem.

DTrace bietet anscheinend eine Art Zwischenelement. Es lassen sich zum Teil Veränderungen herausfinden, aber überwiegend lassen sich die Aktionen, die zu den Veränderungen im Dateisystem geführt haben mitloggen und analysieren.

Und SolarisAuditing dient wohl überwiegend zum loggen der Aktionen. Also eher ein Tool für die obere Ebene. Es lässt sich damit zwar herausfinden was vorgefallen ist, aber nicht welche Auswirkungen dies auf das Dateisystem usw hatte.

Gibt es dazu irgendwo nähere Informationen? Wie die Tools im einzelnen eingesetzt werden. Vielleicht eine Studie oder so? Würde gerne die Abgrenzung der einzelnen Tools näher defininieren und Grenzen aufzeigen.

Thx schon mal im Voraus!