WebDAV in Vista is horribly broken. Ik wil het fixen, maar ben nog steeds op zoek naar de tarball met de source...
.bash_history 
Moet je deze nog wel real-time cq regelmatig ergens anders heen schrijven.
Dit in het achterhoofd houdend dat als de persoon weet dat alles gelogd wordt hij er altijd natuurlijk omheen kan werken (.bash_history verwijderen / handmatig aanpassen / tijdelijk write rechten weghalen en terugzetten wanneer hij klaar is, etc.)
Dit topic is ook wel interessant: http://www.mac-forums.com...bash-session-quietly.html
Samen met deze blog post: http://www.zarrelli.org/b...ory-audit-linux-gnulinux/
[google=bash audit] of [google=bash auditing], zal je denk ik al een stuk op weg helpen.
Moet je deze nog wel real-time cq regelmatig ergens anders heen schrijven.
Dit in het achterhoofd houdend dat als de persoon weet dat alles gelogd wordt hij er altijd natuurlijk omheen kan werken (.bash_history verwijderen / handmatig aanpassen / tijdelijk write rechten weghalen en terugzetten wanneer hij klaar is, etc.)
Dit topic is ook wel interessant: http://www.mac-forums.com...bash-session-quietly.html
Samen met deze blog post: http://www.zarrelli.org/b...ory-audit-linux-gnulinux/
[google=bash audit] of [google=bash auditing], zal je denk ik al een stuk op weg helpen.
[ Voor 32% gewijzigd door r0b op 13-06-2009 17:15 ]
:strip_icc():strip_exif()/u/24038/karen3_icon.jpg?f=community){kind=icon}
8<------------------------------------------------------------------------------------
Als ik zo door ga haal ik m'n dood niet. | ik hou van goeie muziek
Daar heb je gelijk in. Maar....
.. dat is misschien een betere insteek; wáárom hebben ze 1) uberhaupt toegang, 2) kan dat anders?
Ik heb nu zelf een vrij simpele oplossing voor wat dingen (toevoegen van nieuwe domeinen in vhosts.conf / automatisch mappen aanmaken); een php pagina met login + input checking die na validatie via ssh2_exec een shell scriptje aanspreekt die vervolgens weer automatisch de juiste handelingen uitvoert. Dit alles zit nog weer achter een .htaccess beveiliging, en dat is hier eigenlijk afdoende.
/u/34216/rei-60-xmas.png?f=community)
Verwijderd
Even een paar opmerkingen van mijn kant:
- Als je shell users niet vertrouwt moet je ze niet op je server toelaten. Punt geen discussie mogelijk.
- Als je mensen die je toch niet helemaal vertrouwt toch iets wil laten uitvoeren op je server werk dan met ssh forced commands.
- Verder kan je sudo nog zo goed inrichten maar als een of andere grapjas een root exploit op je server uitvoert ben je alsnog de klos. Dus hierbij verwijs ik je weer naar het stukje vertrouwen.
Moraal van het verhaal: Een shell account server is bijna onmogelijk goed te beveiligen alles draait om vertrouwen.
Op mijn werk heb ik ook diverse shell account servers en mocht een of andere grapjas daar iets willen uithalen dan kan deze persoon op zeer zware sancties van het management rekenen
- Als je shell users niet vertrouwt moet je ze niet op je server toelaten. Punt geen discussie mogelijk.
- Als je mensen die je toch niet helemaal vertrouwt toch iets wil laten uitvoeren op je server werk dan met ssh forced commands.
- Verder kan je sudo nog zo goed inrichten maar als een of andere grapjas een root exploit op je server uitvoert ben je alsnog de klos. Dus hierbij verwijs ik je weer naar het stukje vertrouwen.
Moraal van het verhaal: Een shell account server is bijna onmogelijk goed te beveiligen alles draait om vertrouwen.
Op mijn werk heb ik ook diverse shell account servers en mocht een of andere grapjas daar iets willen uithalen dan kan deze persoon op zeer zware sancties van het management rekenen
Verwijderd
1. waarom zou je iemand sudo/root access geven als je ze toch niet vertrouwt?
2. installeer een rootkit
2. installeer een rootkit
:strip_icc():strip_exif()/u/105199/crop5cb76c6d18020_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/51766/gentoo-red-70x70.jpg?f=community)
/u/27682/icon2.png?f=community)
Helemaal niet adequaat genoeg. Iedereen kan gewoon een nieuwe shell openen, of mbv vim kan ik een shell scriptje maken en dat dan uitvoeren.:
.bash_history
Probleem is dat het postgresql server process ook die data edit. Een sudo gebruiker kan zich heel makkelijk voordoen als postgresql, waardoor filesystem access logging dus niet genoeg is.
De laatste 3 posts zijn exact wat ik wil. Nu blijft de vraag: hoe zorg ik dat alles richting syslog verstuurd wordt?
Ik ga wat uitzoeken over SELinux, wat daar allemaal mee mogelijk is. Iemand die een goede link heeft over logging met SELinux (loggen welke applicaties worden uitgevoerd, welke bestanden geaccesst worden, ...)? Als dan nog een aparte SQL-client geschreven moet worden met logging support, so be it.
Over de vrijwilligers: de clue is om studentenverenigingen goede IT-diensten te bieden aan weinig geld. Als hun server plat ligt, moet een van onze medewerkers met sudo op die bak kunnen om het op te lossen. We moeten die studentenverenigingen echter wel garanderen dat er niemand met hun data wegloopt. We moeten absoluut kunnen detecteren als zij met dingen sjoemelen (VB: kassatelling-data wijzigen en zelf met het geld gaan lopen, gebruikersinformatie doorverkopen aan bedrijven, totale verkoopscijfers achterhalen, ...)
WebDAV in Vista is horribly broken. Ik wil het fixen, maar ben nog steeds op zoek naar de tarball met de source...
/u/137180/TS4YTL60R.png?f=community)
Als dat de basis van je probleem is kan je wel gaan loggen, maar dan weet je alleen maar wie wat gedaan heeft en heb je niet voorkomen dat dat gebeurt is.
Wat je dan zou moeten hebben is iets dat wanneer wie dan maar ook die het loggen uitschakelt direct door iets gekicked en gebanned wordt. Dat iets is met sudo vast ook te killen maar stel je hebt er 2 van...waarvan 1 die door de log-server aangestuurd wordt, en wanneer 1 van de 2 gekilled wordt de ander de een ook direct restart. Of het mogelijk is om in linux 2 processen precies tegelijk te killen weet ik niet. Wanneer dat zo zou zijn is het idee natuurlijk al niets meer waard.
/u/1339/PADDO01.GIF?f=community)
Van de sudo pagina:
Sudo is per commando en gebruiker in te stellen en het is zeker niet standaard makkelijk om de db gebruiker te worden.
Maak een testopstelling en ga wat met sudo klooien, dus niet meer "sudo su -" maar "sudo /usr/bin/commandodatjewilt" als je datafiles niet world readable zijn zouden de vrijwilligers deze niet zomaar moeten kunnen kopiëren.
Kortom alle dbacties zijn een sudo commando expliciet door jou in /etc/sudoers op te geven. Alles wordt dan gelogd.
En verders, werk absoluut met getekende security policies voor die vrijwilligers en timmer hun rechten helemaal dicht voor hun loginaccount nog verder in de sudoers file. Zorg dat zij alleen kunnen wat voor hun werk nodig is!
Ohhh kijk qua veilig serveren ook eens naar OpenBSD.
Amantes amentes
--
Be inspired!
Verwijderd
Normaal gesproken zou ik de laatste zijn die OpenBSD niet zou aanraden. Maar in dit geval hangt het enorm vanaf wat het doel van inzet. OpenBSD zijn voor heel veel dingen goed. Nadeel is dat de applicaties die erop zouden moeten komen wel te draaien zonder binary virtualisation.
*offtopic* Tuuk, een reclamefooter van MS over Hyper V virtualisatie.
[ Voor 8% gewijzigd door Verwijderd op 15-06-2009 21:25 ]
WebDAV in Vista is horribly broken. Ik wil het fixen, maar ben nog steeds op zoek naar de tarball met de source...
Core i5-3570K/ASRock Z75 Pro3/Gigabyte Radeon HD7850/Corsair XMS3 2x4GB/OCZ Vertex2 64GB/3x640GB WD Black/24" B2403WS Iiyama x2/Nec 7200S
Verwijderd
Btw al eens nagedacht over het volgende:
Hoe waarborg je dat het een voor jullie bekende vrijwilliger is die op de server van de klant inlogged
Hoe waarborg je dat het een voor jullie bekende vrijwilliger is die op de server van de klant inlogged
Kwam vandaag deze tegen: http://www.yubico.com/home/index/:
Btw al eens nagedacht over het volgende:
Hoe waarborg je dat het een voor jullie bekende vrijwilliger is die op de server van de klant inlogged
Daarmee heb je een hardware token, wat de security weer wat omhoog gooit.
[ Voor 14% gewijzigd door Rainmaker op 24-06-2009 02:45 ]
We are pentium of borg. Division is futile. You will be approximated.
Verwijderd
Zeer interessant product Rainmaker. Die dingetjes zou ik prive of op mijn werk ook wel aardig kunnen gebruiken. Bookmarkje:
[...]
Kwam vandaag deze tegen: http://www.yubico.com/home/index/
Daarmee heb je een hardware token, wat de security weer wat omhoog gooit.
Daar heb je in deze context niet veel aan, het versimpelt alleen het authenticatieproces.:
Kwam vandaag deze tegen: http://www.yubico.com/home/index/
Daarmee heb je een hardware token, wat de security weer wat omhoog gooit.
In het geval van de TS zijn er slechts een paar mensen met toegang tot de server. Als zij zo stom zijn om hun login/password aan iemand te vertellen zijn ze daar zelf aansprakelijk voor. Trouwens, hier geldt ook het bovengenoemde "root kan toch alles" fenomeen. Als je eenmaal root kan worden kan je password-authenticatie weer aanzetten, een nieuwe user aanmaken, inloggen als die user, en vanaf dat account je rootrechten misbruiken. Maargoed, die discussie was al gevoerd.
Computer Science: describing our world with boxes and arrows.
/u/10064/leuk_he.png?f=community)
Wat uiteraard al te verbteren is door "script -q" als eerste shell te starten...
usermod -s "script -q" spiedonuser.
(en dan moet je nog iets verzinnen als de gebruiker meer keren inlogd)
In de praktijk kom ik echter ook tegen dat er heeeeeel veel gelogd wordt, maar niemand weet wat (wellicht ook logisch), waardoor er alleen in de heel ernsige gevallen of in de komkomertijd naar gekeken wordt.
Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.
Tja, dat is ook precies waar dit soort logging voor dient, niet voor proactief gebruik maar meer voor : when the shit hits the fan and you want to blame someone...:
[...]
In de praktijk kom ik echter ook tegen dat er heeeeeel veel gelogd wordt, maar niemand weet wat (wellicht ook logisch), waardoor er alleen in de heel ernsige gevallen of in de komkomertijd naar gekeken wordt.
Een gebruiker met een terminal met kleurtjes produceert met een man page al genoeg controle codes om je log zo goed als onleesbaar te maken voor dagelijks inleeswerk.
Logfiles zijn gewoon niet voor proactief beheer ( als je proactief wilt zijn kan je een interpreter op je logfiles loslaten, maar laat je logfiles aub gewoon lekker loggen )
Pagina: 1