Auditing und Logging unter OpenSolaris

[cosmo111]

Hi!

Ich bräuchte mal ein Tipps was das Logging und Auditing unter OpenSolaris angeht. Schreibe eine Ausarbeitung im Studium darüber und muss mich dementsprechend intensiv damit beschäftigen.

Bisher gelesen: http://docs.sun.com/app/docs/doc/819-3321/audittm-1?l=en&a=view&q=auditing

Außerdem noch dieses nette Kapitel über Auditing in dem Buch "OpenSolaris für Anwender, Administratoren und Rechenzentren"

Naja, nun zu meinen Fragen:

- Gibt es irgendwelche Tools um Xevents mitzuloogen?
- Kann man eine SSH-Sitzung mitloggen? Wenn ja wie?
- Welche Programme könnte man noch nutzen oder sind sogar gängig in diesem Bereich?

Bisher hab ich noch "DTrace" und "xev" gefunden, aber in meinem OpenSolaris System noch nicht implementiert. Das systemeigene Logging mittels syslog usw. hat schon genug Zeit in Anspruch genommen. Wink

- Gibt es KeyLogger für OpenSolaris mit denen man beispielsweise die Eingaben in dem vi-Editor mitloggen kann?

Es können auch gerne Logging-Möglichkeiten, die man in einem regulären Unternehmen eigentlich nicht verwenden darf, da sie in die Privatsphäre eindringen. Ein Aspekt, den ich noch beleuchten möchte ist nämlich die Gesetzeslage. Was darf wirklich mitgeloggt werden usw.

Für Tipps und Anregungen wäre ich dankbar. =)


P.S. Falls jemand eine gute Seite zu dem Programm "Snoopy Logger" kennt wäre das auch nicht schlecht. 

Gibt es eigentlich dieses "xferlog" auch in OpenSolaris? Meinte damit ließen sich mal FTP-Verbindungen usw loggen.

[Drusus]

Moin,

Die Xevents kannst du per Auduting mitloggen (siehe "xx" in /etc/security/audit_classed und die diversen Events in /etc/security/audit_event).

Was genau willst du bei der SSH Session mitloggen? Wer von wo nach wo etc. geht per syslog oder/und Auditing. Wenn es um den Inhalt selber geht, dann geht das natuerlich nicht und Logging waere dann analog zu normalem Shell-Zugang (z.B. Console) zu implementieren, d.h. die Shell-Ausgaben mitscripten. Das geht z.B. mittels "typescript" als entsprechenden Wrapper fuer die login-Shell.

Das xferlog gibt es auch in Solaris. Dort werkelt noch der wu-ftpd (siehe "man in.ftpd").


Mit weiteren Programmen zum Logging (wie z.B. Keylogger) habe ich mich noch nicht beschaeftigt.

Tschau,
  Drusus.

[cosmo111]

Hi!

So, habe mich in der Zwischenzeit ein wenig mit dem Thema beschäftigen können.

typescript habe ich natürlich auch schon behandelt. Ist ja eine recht einfache Geschichte.
Das direkte Shell-Logging ist aber auch mittels DTrace möglich hab ich nun rausbekommen und auch schon durchgeführt. ^^

Was für mich nun interessant ist, ich möchte die XEvents nicht per SolarisAuditing mitloggen sondern mit dem Tool "xev". Gibt es da schon irgendwelche Ansätze oder hat das schon irgendwer versucht?

Außerdem habe ich gehört es soll einen SSH-Server geben, der einem die Möglichkeit bietet alles mitzuloggen. Auch den Inhalt der SSH-Session. Schon jemand mal davon was gehört?

Wäre für Anregunden dankbar. =)

[cosmo111]

Hi!

Habe da nochmal eine Frage. Gibt es irgendwo Info's wie man bei so einer forensischen Analyse vorgeht? Bzw. welche Tools für was gut sind?

Mit BART beispielsweise kann man herausfinden, welche Auswirkungen bestimmte Aktionen bzw. High-Level-Kommandos auf die Dateien hatten. Man sieht also direkt die Veränderungen auf der unteren Ebene im Dateisystem.

DTrace bietet anscheinend eine Art Zwischenelement. Es lassen sich zum Teil Veränderungen herausfinden, aber überwiegend lassen sich die Aktionen, die zu den Veränderungen im Dateisystem geführt haben mitloggen und analysieren.

Und SolarisAuditing dient wohl überwiegend zum loggen der Aktionen. Also eher ein Tool für die obere Ebene. Es lässt sich damit zwar herausfinden was vorgefallen ist, aber nicht welche Auswirkungen dies auf das Dateisystem usw hatte.

Gibt es dazu irgendwo nähere Informationen? Wie die Tools im einzelnen eingesetzt werden. Vielleicht eine Studie oder so? Würde gerne die Abgrenzung der einzelnen Tools näher defininieren und Grenzen aufzeigen.

Thx schon mal im Voraus!