Linux运维人员共用root账户权限审计

Linux运维人员共用root账户权限审计

2016-11-02 运维部落

1、应用场景

在中小型企业，公司不一样运维人员基本都是以root 帐户进行服务器的登录管理，缺乏了帐户权限审计制度。不出问题还好，出了问题，就很难找出源头。

这里介绍下，如何利用编译bash 使不一样的客户端在使用root 登录服务器使，记录各自的操做，而且能够在结合ELK 日志分析系统，来收集登录操做日志 　　

2、环境

服务器：centos 6.五、Development tools、使用密钥认证，SElinux 关闭。

客户端：生成密钥对，用于登陆服务器 （2台）

3、搭建部署

服务器操做 : 192.168.30.72

一、下载编译bash

[root@open1 ~]# wget http://ftp.gnu.org/gnu/bash/bash-4.1.tar.gz
[root@open1 ~]# tar xvf bash-4.1.tar.gz
[root@open1 ~]# cd bash-4.1

二、 先修改下 config-top.c文件,大概94行、104行，因为c 语言中 注释是/**/ ，因此不要删除错了。修改以下：

[root@open1 bash-4.1]# vim config-top.c
#define SSH_SOURCE_BASHRC
#define SYSLOG_HISTORY

3 修改下bashhist.c 文件，让终端上的命令记录到系统messages 中，而且以指定的格式。并传入得到的变量。修改后的内容以下：

[root@open1 bash-4.1]# vim bashhist.c
#... 省略部分段落
void
bash_syslog_history (line)
    const char *line;
{
  char trunc[SYSLOG_MAXLEN];
    const char *p;
    p = getenv("NAME_OF_KEY");
  if (strlen(line) < SYSLOG_MAXLEN)
    syslog (SYSLOG_FACILITY|SYSLOG_LEVEL, "HISTORY: PID=%d PPID=%d SID=%d  User=%s USER=%s CMD=%s", getpid(), getppid(), getsid(getpid()),  current_user.user_name, p, line);
  else
    {
      strncpy (trunc, line, SYSLOG_MAXLEN);
      trunc[SYSLOG_MAXLEN - 1] = ' ';
      syslog (SYSLOG_FACILITY|SYSLOG_LEVEL, "HISTORY (TRUNCATED): PID=%d  PPID=%d SID=%d User=%s USER=%s CMD=%s", getpid(), getppid(), getsid(getpid()), current_user.user_name, p, trunc);
    }
}

4 配置安装路径，编译安装，编译到/usr/local/目录下

[root@open1 bash-4.1]# ./configure --prefix=/usr/local/bash_new
[root@open1 bash-4.1]# make && make install
...
if test "bash" = "gettext-tools"; then \
          /bin/sh /root/bash-4.1/./support/mkinstalldirs /usr/local/bash_new/share/gettext/po; \
          for file in Makefile.in.in remove-potcdate.sin quot.sed boldquot.sed en@quot.header en@boldquot.header insert-header.sin Rules-quot   Makevars.template; do \
            /usr/bin/install -c -m 644 ./$file \
                            /usr/local/bash_new/share/gettext/po/$file; \
          done; \
          for file in Makevars; do \
            rm -f /usr/local/bash_new/share/gettext/po/$file; \
          done; \
        else \
          : ; \
        fi
make[1]: Leaving directory `/root/bash-4.1/po'

五、编译完成后，将新的bash 追加到 /etc/shells 中，并修改root用户的登录shell 环境为新编译的shell

[root@open1 bash-4.1]# echo "/usr/local/bash_new/bin/bash" >> /etc/shells
[root@open1 bash-4.1]# cat /etc/shells
/bin/sh
/bin/bash
/sbin/nologin
/bin/dash
/usr/local/bash_new/bin/bash

[root@open1 bash-4.1]# vim /etc/passwd
root:x:0:0:root:/root:/usr/local/bash_new/bin/bash

六、注销当前root用户，从新登录后，查看/var/log/messages，以下就能够看到记录了操做命令

4、SSH客户端生成密钥部分

1 在client1上（192.168.30.99）操做，用户zhangsan

[root@rsyslog ~]# ssh-keygen -t rsa -C "root@zhangsan"
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
c8:bd:5d:3b:a5:d9:6d:09:b6:5f:db:55:1d:43:96:3d root@zhangsan
The key's randomart image is:
+--[ RSA 2048]----+
|               oo|
|              oE.|
|               o.|
|     . o        +|
|      o S   .o. o|
|         o ..*o.o|
|        . . =...=|
|             ...=|
|               o.|
+-----------------+

-C 注释 （加上这个也是为了最后进行对服务器访问人员进行辨别的一个关键点）

二、将公钥上传到服务器上的.ssh/authorized_keys 文件中。ssh-copy-id 命令会自动在服务器上建立.ssh/authorized_keys文件，即便该目录不存在，并自动赋予600权限。

[root@rsyslog ~]# ssh-copy-id -i /root/.ssh/id_rsa.pub root@192.168.30.72
root@192.168.30.72's password:
Now try logging into the machine, with "ssh 'root@192.168.30.72'", and check in:

  .ssh/authorized_keys

to make sure we haven't added extra keys that you weren't expecting.

三、client 2（192.168.30.71） 上一样的操做，用户lisi

[root@swift3 ~]# ssh-keygen -t rsa -C "root@lisi"
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
8f:56:66:91:0c:6e:86:3b:90:19:42:9c:ab:9e:00:f6 root@lisi
The key's randomart image is:
+--[ RSA 2048]----+
| oo..   .        |
|  o. + o o .     |
|   .+ . + +      |
|...  . +   .     |
|o..   o S +      |
|o  E   . *       |
|o .     o .      |
| o     .         |
|                 |
+-----------------+

四、上传公钥到服务器上

[root@swift3 ~]# ssh-copy-id -i /root/.ssh/id_rsa.pub root@192.168.30.72
The authenticity of host '192.168.30.72 (192.168.30.72)' can't be established.
RSA key fingerprint is 8f:a7:1b:8d:e4:92:ad:ae:ea:1b:fb:67:0b:0b:7c:ac.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.30.72' (RSA) to the list of known hosts.
root@192.168.30.72's password:
Now try logging into the machine, with "ssh 'root@192.168.30.72'", and check in:

  .ssh/authorized_keys

to make sure we haven't added extra keys that you weren't expecting.

五、如今去服务器上验证下该文件

[root@open1 ~]# cat ~/.ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA6fM+bpWEP3luauvOjmTB55ugUzVVMesmHCw4RNZ/C2e+KGXAYuxuAmEBbMcXQQj7OTAqVCQ0PWja58wReyZ7etiUGAtvoSBmSBpTPXteBMl40kDn4GdmXQ9UT/jnQ9gSZUQYJLMLJGWJks9S4xUI2cZ7oIytclrsUnKuOA1U6+luIJwJu9z7ya5OXh5FmmJQFnYtAEIhrLt4S8Ru5S00c0jiQCRk3RFlHYNc0IR02MXMH7d9bq7l04heAcT/y1EBS3EwINX8r0y6OridjJPCwxnm1sSfMKvLAbq/B+ufDjEOp7Y2SatL3qXaiP7NxdnhoJ4+Xar0zCoYi2A9oRGgUQ== root@zhangsan
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAupGSgXOWpQfzOVkHXYqN2BjMiAyaFRdKs6Wam3xGpMYRjZbIFX14kNR4CbrQtbUK8YonZPYdXG589blFmqF17sUPCNEqZEjCNer+yzDu+hYg/jAn4dCVtTBqUtBsTYUHSHIR0srruJ9keHNgU9aDRok8nulMUi/9Ej0NJZsBQ2npVNCf0YHgAd/ON5VsBYVLPvAT/cG3MuCjg5mgtU59qgAHyLKxkfpVc0/TRZ4eamX/1V0dsCxx9oYDbpn4YKLBAOaAS4kF6qEdrwRh0ssyWtWOo/CdyfLXKgwdbPtPfWZ63SM7wY7bAtcdxxu/QDkYVP+4oDfAtMxXZlY2bT5qMQ== root@lisi

六、如今上面两个客户端已经能够免密钥登录了，如今去服务器上配置，并建立脚本

5、配置服务器

一、在log目录下建立一个 keys 文件，用于登录时存进去公钥，以后对其进行取出判断的

[root@open1 ~]# touch /var/log/keys

二、建立检测脚本，内容以下:

[root@open1 ~]# cat /etc/CheckUser.sh
#!/bin/bash
#conding:utf-8
pid=$PPID
#在本身home目录获得全部的key，若是/var/log/keys 没有的时候，添加进去
while read line
do
grep "$line" /var/log/keys >/dev/null || echo "$line" >> /var/log/keys
done < $HOME/.ssh/authorized_keys
#获得每一个key的指纹
cat /var/log/keys | while read LINE
do
 NAME=$(echo $LINE | awk '{print $3}')
echo $LINE >/tmp/keys.log.$pid
 KEY=$(ssh-keygen -l -f /tmp/keys.log.$pid | awk '{print $2}')
grep "$KEY $NAME" /var/log/ssh_key_fing >/dev/null || echo "$KEY $NAME" >> /var/log/ssh_key_fing
done
#若是是root用户，secure文件里面是经过PPID号验证指纹
if [ $UID == 0 ]
then
ppid=$PPID
else
#若是不是root用户，验证指纹的是另一个进程号
ppid=`/bin/ps -ef | grep $PPID |grep 'sshd:' |awk '{print $3}'`
fi
#获得RSA_KEY和NAME_OF_KEY，用来bash4.1获得历史记录
RSA_KEY=`/bin/egrep 'Found matching RSA key' /var/log/secure | /bin/egrep "$ppid" | /bin/awk '{print $NF}' | tail -1`
 if [ -n "$RSA_KEY" ];then
NAME_OF_KEY=`/bin/egrep "$RSA_KEY" /var/log/ssh_key_fing | /bin/awk '{print $NF}'`
fi
#把NAME_OF_KEY设置为只读
readonly NAME_OF_KEY
export NAME_OF_KEY
/bin/rm /tmp/keys.log.$pid

三、配置 profile，在文件末尾添加一行内容，以下：

[root@open1 ~]# echo "test -f /etc/CheckUser.sh && . /etc/CheckUser.sh" >> /etc/profile

四、在/etc/bashrc 末尾添加下面内容：

[root@open1 ~]# tail -1f /etc/bashrc
test -z "$BASH_EXECUTION_STRING" || { test -f /etc/CheckUser.sh && . /etc/CheckUser.sh; logger -t -bash -s "HISTORY $SSH_CLIENT USER=$NAME_OF_KEY CMD=$BASH_EXECUTION_STRING " >/dev/null 2>&1;}

五、修改sshd 配置文件，开启debug 模式，并重启sshd服务

[root@open1 ~]# sed -i 's/#LogLevel INFO/LogLevel DEBUG/g' /etc/ssh/sshd_config
[root@open1 ~]# service sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]

6、验证

一、在client1 上进行登录，并删除个文件试下（zhangsan）

二、在client2 上进行登录，也删除个文件，并执行个重启服务的命令（lisi）

三、去服务器上查看下 messages 日志，内容以下

经过上图，能够看出，不通用户的客户端经过公钥登录的方式，分辨出了谁操做了什么，何时操做的

7、结束

　经过这种方式，极大的解决了多root 用户登录操做，没法审计的问题。而且能够结合日志转发，将系统日志转发到其它服务器，即便主机被黑了，也能具体的审查登录时间以及作了哪些操做。 　

原文章转自：https://mp.weixin.qq.com/s?__biz=MzIyMDA1MzgyNw==&mid=2651968844&idx=1&sn=bc6cba7f5dcea089f2df4e283d423a76&chksm=8c349d60bb4314765313ebb185236e2da6ea6bcca19de58130a1807e88ec263b1fc09f96abe0&scene=0&pass_ticket=%2Fn3BAiE%2FTvroxeNodAU6Ot0IS1pO1OdPvHoaqHM8e4jR4wKirK6z1q7lMZdD6khH#rd