web-dev-qa-db-ja.com

監査ログファイルでsshキーを見つける方法は?

2つのホスト(クライアント192.168.4.107とサーバー192.168.4.106)を接続するためのsshキーを作成しました。クライアントマシンでこのコマンドを実行すると、ssh接続が機能します。

ssh-keygen
ssh-copy-id -i /root/.ssh/id_rsa.pub [email protected]

ssh-keygen -lf /root/.ssh/id_rsa.pub -E md5
MD5:9a:3d:f7:c9:38:91:41:c7:8e:ca:a0:75:a2:51:b5:fm
ssh-keygen -lf /root/.ssh/id_rsa.pub -E sha256
2048 SHA256:9V6hDnLdq7heMYT2S54AHamAo9Bi8eQVa5oNa1dyHuo

サーバーで監査システムを有効にし、レポートを実行すると(aureport -i)、次のようなメッセージが表示されます。

type=CRYPTO_KEY_USER msg=audit(19/02/2019 12:35:42.590:1145) : pid=12444 uid=root auid=unset ses=unset subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=destroy kind=server fp=SHA256:8a:99:38:f8:db:fd:02:52:76:ce:f8:c5:9a:ef:ef:47:98:23:fb:49:bf:c6:4b:de:e3:76:08:9c:f7:33:01:16 direction=? spid=12444 suid=root  exe=/usr/sbin/sshd hostname=? addr=? terminal=? res=success'

アクティビティの目的は、sshキーのおかげでユーザーが監査システムにログインしていることを検出することです。問題は、2つの指紋キーが一致しないことです(IPの追跡が機能せず、クラウドで作業し、IPが公開されており、すべてのユーザーで常に同じです) )。

sHA256の指紋キーの形式は、audit.logファイル内のFpと実際には異なります。形式は、書き込みfpキーですか?どこが間違っているの?ありがとう!

linuxsshsecuritylinux-auditcloud
3
Francisco Sour

クラウド上のサーバーでユーザーのアクティビティの変化を検出するためのソリューションについて説明します。以下の要件で:

  • クライアントはSHA256x.x.x.x.xに指紋付きの秘密鍵を持っており、ssh接続を有効にしています。
  • サーバー上で監査システムを有効にします。
  • / home/Oracle /などのフォルダーを指定するための監視ルールを有効にします

変更されたファイルを検出するには、例の下にある次の手順に従います。

ausearch -f
------------
20/02/2019 16:37:00 /home/Oracle/.bash_history 2 yes /usr/bin/bash 54321 770

770はイベントの数です。ありがとうございます。セッション番号を見つけることができます。

ausearch -p | grep 770
----------------------
type=SYSCALL msg=audit(20/02/2019 16:37:00.868:770) : Arch=x86_64 syscall=open 
success=yes exit=3 a0=0x10bd080 a1=O_WRONLY|O_APPEND a2=0x180 a3=0x0 items=1 
ppid=8649 pid=8650 auid=Oracle uid=Oracle gid=oinstall euid=Oracle suid=Oracle 
fsuid=Oracle egid=oinstall sgid=oinstall fsgid=oinstall tty=pts1 ses=58 
comm=bash exe=/usr/bin/bash subj=unconfined_u:unconfined_r:unconfined_t:s0- 
s0:c0.c1023 key=modifica_fil

セッション番号は58です。おかげで、ログインセッションのpidを見つけることができます

ausearch -i | grep  ses=58
---------------------------
type=LOGIN msg=audit(20/02/2019 16:34:37.366:747) : pid=8646 uid=root 
subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 old-auid=unset auid=Oracle tty= 
(none) old-ses=4294967295 ses=58 res=yes

ログインのpidは8646で、var/log/secureで指定されたユーザーから使用された指紋キーを見ることができます

cat secure | grep 8646
----------------------
sshd[8646]: Accepted publickey for Oracle from 192.168.4.107 port 58892 ssh2: 
RSA SHA256:x.x.x.x.x
2
Francisco Sour