Wie in einem der vorhergehenden Artikel beschrieben, beschäftige ich mich mit Gedankenexperimenten zum Thema Certificate Authority. Hier nun ein weiterer Aspekt dazu...
Ich wollte eigentlich vorschlagen, den Nutzer, der mit der CA arbeitet, zu auditieren - lies: ich wollte alle seine Interaktionen mit dem System in einem Logfile speichern.
Dazu fand ich verschiedene Lösungen für Linux, darunter Snoopy und rootsh. Von beiden gefiel mir rootsh eigentlich besser, da ich hier in der Lage bin, dies als Login-Shell für einzelne Nutzer zu definieren. Bei Snoopy dagegen habe ich nur die Chance, zwischen "loggt nur root" und "loggt alle Nutzer" zu wählen.
Nachdem ich nun rootsh ausprobieren wollte, musste ich feststellen, dass es dafür kein Debian-Paket gibt und man es daher aus den Quellen installieren muss. Das wäre eigentlich weiter kein großes Problem - aber die Letzte Änderung an dem Paket liegt schon Jahre zurück. Daher sollte man ja generell vorsichtig sein - wenn OpenSource-Software nicht mehr gewartet wird, kann es sein, dass Fehler drin sind... Im Produktivsystem plädiere ich daher wahrscheinlich doch für Snoopy...
Nach dem Auspacken des Quellcode-Archivs
sudo -i
./configure --disable-logfiles --disable-linenumbering
make
make install
Anschließend habe ich noch /etc/shells erweitert.
Danach kann man rootsh bereits als Login-Shell einrichten. Tut man das zu diesem Zeitpunkt, werden alle Interaktionen jedes Users, der rootsh als Login-Shell eingerichtet hat, ins syslog geschrieben. Um das abzustellen, habe ich folgende Zeile in (Ubuntu!) /etc/rsyslog.d/50-default.conf hinzugefügt:
local5.* /var/log/local5
Damit werden alle Meldungen von rootsh zusätzlich in /var/log/local5 gespeichert. Damit benötigen wir sie im syslog nicht mehr - daher wurde wieder in /etc/rsyslog.d/50-default.conf folgende Zeile
*.*;auth,authpriv.none -/var/log/syslog
in
*.*;auth,authpriv.none,local5.none -/var/log/syslog
geändert. Natürlich muss man beim Einsatz von rootsh dafür sorgen, dass Nutzer ihre eigene Login-Shell nicht ändern dürfen.
Als Ausblick sei hier noch angemerkt, dass das Material aus diesem Audit nur dann Sinn macht, wenn das Log auf einem entsprechenden Syslog-Server ausgelagert wird...
Certstream, InfluxDB, Grafana und Netflix
16.04.2019
Nachdem ich vor kurzem über mein erstes Spielen mit dem certstream berichtete, habe ich weitere Experimente gemacht und die Daten zur besseren Auswertung in eine InfluxDB gepackt, um sie mit Grafana untersuchen zu können.
Weiterlesen...Android Basteln C und C++ Chaos Datenbanken Docker dWb+ ESP Wifi Garten Geo Git(lab|hub) Go GUI Gui Hardware Java Jupyter Komponenten Links Linux Markdown Markup Music Numerik PKI-X.509-CA Python QBrowser Rants Raspi Revisited Security Software-Test sQLshell TeleGrafana Verschiedenes Video Virtualisierung Windows Upcoming...
Die sQLshell hat eine weitere Integration erfahren - obwohl ich eigentlich selber nicht viel dazu tun musste: Es existiert ein Projekt/Produkt namens steampipe, dessen Slogan ist select * from cloud; - Im Prinzip eine Wrapperschicht um diverse (laut Eigenwerbung mehr als 140) (cloud) data sources.
Weiterlesen...Nach der letzten losen Zusammenstellung (für mich) interessanter Links aus den Tiefen des Internet von 2024 folgt hier gleich die nächste:
Weiterlesen...Da ich seit nunmehr einem Jahr bei meinem neeun Arbeitgeber beschäftigt und damit seit ungefähr derselben Zeit für Geld mit Python arbeite, haben sich gewisse Antipathien gegenüber Python vertieft (ich kann mit typlosen Sprachen einfach nicht umgehen) - aber auch einige meiner Gründe, Python zu lieben sind ebenso stärker geworden. Einer davon ist der Fakt, dass eine Methode in Python mehr als einen Wert zurückgeben kann.
Weiterlesen...Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.
Wer daran teilhaben und eventuell sogar davon profitieren möchte, muß damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.
Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...
PS: Meine öffentlichen GitHub-Repositories findet man hier - meine öffentlichen GitLab-Repositories finden sich dagegen hier.