Change Auditing ohne Root-Rechte

[bitmuncher]

Ich suche nach einer Software für Solaris, die es ermöglicht Änderungen, die ein bestimmter User durchführt, ohne die Notwendigkeit von Root-Rechten zu tracken.

Hintergrund: Auf einem Server existiert ein "Projekt-User", der in einem speziellen Verzeichnis seine Software installieren darf. Der Server selbst ist aber managed und sowohl Hardware als auch Betriebssystem werden durch den Hoster verwaltet. Ein Root-Zugriff ist also nicht möglich. Dennoch soll überwacht werden, wenn Änderungen im Projekt-Ordner vorgenommen werden. Dies sollte möglichst automatisiert in ein Dokumentationstool geleitet und dort dokumentiert werden. XML-RPC-Schnittstelle für das Dokumentationstool ist vorhanden. Ich kann also bei Bedarf auch was coden damit die Infos des Change-Audit-Tools im Dokumentationstool landen, sofern das notwendig ist.

Voraussetzungen: Jede Änderung an dem Projekt-Ordner muss getrackt werden. Im Optimalfall werden auch sämtliche Befehle getrackt, die der Projekt-User absetzt. Und richtig gut wäre, wenn auch eine SSH-Key<->User-Zuordnung möglich wäre, da verschiedene Leute mit verschiedenen SSH-Keys auf den Projekt-User zugreifen.

 

[SchwarzeBeere]

Die letzte Anforderung hört sich für mich erstmal nach simplem (Privilege) Account/User/Identity Management an. Dort ordnest du einem Systembenutzer mehrere mennschliche Benutzer mit unterschiedlichen Credentials (sei es nun auf Basis von SSH Keys, Username/Passwort oder Token) zu und kannst so den Zugriff auf den Systembenutzer kontrollieren (trivialstes Beispiel in dem Bereich ist sudo). Im Regelfall beherrschen Produkte in dieser Kategorie auch das Logging von SSH-Sessions, sowie Prozesse zur Registrierung und zum Erlauben/Verbieten von Zugriffsanforderungen.

Hinsichtlich Filesystemüberwachung wirds in dem Bereich allerdings mau. Direkte Zugriffe und Änderungen am Projektordner mittels nicht-überwachtem Benutzer können nicht geloggt werden. Daher müssen beim Einsatz einer solchen Lösung auch Management-Prozesse angepasst werden, um eine lückenlose Überwachung zu garantieren.

Als "kostenlose" Lösung ist mir nur OpenIAM bekannt. Kostenpflichtige Lösungen gibt es beispielsweise von Cyber-Ark, Oracle oder Hitachi-ID. Die meisten Lösungen sind allerdings aufs Entreprise ausgerichtet und weniger auf einzelne Server, weswegen es hier rein vom Aufwand gesehen wohl ein mit Kanonen-auf-Spatzen-schießen wäre. Wenn das über eine Serverfarm hinweg gemacht werden soll, eventuell sogar OS-übergreifend, dann kommst du letztendlich an diesen Produkten nicht mehr vorbei.

 

[bitmuncher]

Es werden min. 97 Solaris-Server davon betroffen sein. Aber es soll halt ohne zusätzlichen Aufwand beim Hoster umgesetzt werden. Daher muss das möglichst ohne Root-Rechte funktionieren. Es geht auch nicht um eine lückenlose Überwachung sondern eher um eine Dokumentation der Änderungen, egal ob diese nun aus einem Deployment-Tool kommen oder im Zuge einer Notfall-Lösung manuell gemacht wurden.

 

[SchwarzeBeere]

root-Zugriff wird meist nicht benötigt, da du dem System idR nur einen Systembenutzer zuweist (sozusagen ein einfaches Mapping Systembenutzer/Passwort -> Solaris-System), mit dem mennschliche Benutzer auf das System zugegreifen können. Hier reicht beispielsweise eine lokale Installation einer PAM-Lösung bei euch, über die eine Verbindung auf die Solaris-Systeme beim Hoster gestartet werden kann. Folgender Prozess ist dabei sozusagen Standard: Benutzer loggt sich mit seinen AD/LDAP/..-Daten ins PAM-System ein, wählt den Server aus. Chef bestätigt die Verbindungsanforderung (oder die Anforderung wird automatisch bestätigt), Benutzer klickt auf "Connect", wobei ein putty-Fenster/ein Terminal geöffnet wird, dass den Benutzer automatisch auf dem ausgewählten Server einloggt, ohne ihm das Passwort mitzuteilen. Die Benutzerverwaltung kann beispielsweise über bestehende IdM erfolgen oder auch einfach per Hand, wenn die Zahl der Benutzer übersichtlich ist. Automatische Passwortänderungen durch das PAM System zur Einhaltung von Sicherheitsrichtlinien sollten ebenfalls zum Standardrepertoire gehören. Überwachungsfunktionalität auf Command-Ebene kann ich zumindest bei den Produkten von Hitachi-ID bestätigen.

Alternativ wäre auch soetwas wie sudosh | Free System Administration software downloads at SourceForge.net interessant für dich. Die Benutzerverwaltung kannst du dann komplett aufs System verlagern, Benutzer loggen sich dann per sudosh lokal in den Projekt-Account ein. Hier ist es aber relativ wahrscheinlich, dass root-Rechte benötigt werden. Auch zur Solaris-Kompatibilität kann ich nichts sagen.