Spuren auf Linux/Unix-System verwischen?

[Stummi]

Hoi,
mal rein theoretisch: Was müsste ich machen um auf einem Linux/Unix-System spuren von lokalen oder ssh-logins zu verwischen?

Mir sind dafür bisher diese Zeilen eingefallen:

> /var/log/lastlog
cat /var/log/auth.log | grep -v "[eigene IP]" > /var/log/auth2.log
mv /var/log/auth2.log /var/log/auth.log
> ~/.bash_history
> /var/log/wtmp
history -c
exit

erste Frage;
Der Code oben bezieht sich selbstverständlich auf ssh.
Wäre damit alles getan oder hätte ich da irgendwas vergessen?

zweite Frage:
Wo werden Lokale logins gespeichert?

Wie schon gesagt, das ist eher theoretisch und es interessiert mich einfach mal persönlich Zumal ich dadurch auch erfahren kann, wo mein system überall logs führt.

 

[JTron]

zur zweiten Frage:

du weißt schon, dass der Befehl "finger <username>" dir die logins anzeigt? wenn du diese Einträge löschen kannst, müsste es eigentlich nicht mehr möglich sein, das ganze einzusehen.

 

[bitmuncher]

Original von Stummi
erste Frage;
Der Code oben bezieht sich selbstverständlich auf ssh.
Wäre damit alles getan oder hätte ich da irgendwas vergessen?

Bei deinem Verfahren, wäre in der History immernoch erkennbar, dass diese gelöscht wurde, da dein letzter Befehl dann noch drin steht. Ausserdem speichern nicht alle Systeme die Logins in der auth.log, sondern teilweise auch in der messages.

Original von Stummi
zweite Frage:
Wo werden Lokale logins gespeichert?

Wo Logins (remote und lokal) gespeichert werden, kannst du der syslog-Konfiguration entnehmen.

 

[aleph0ne]

Howdy,

um erst garnicht spuren zu erzeugen hilft auch oftmals folgendes:

$ ssh user@host 'HISTFILE="" bash -il'

Aber vorsicht, man hat kein echtes Terminal, also vi funktioniert nicht.
Wer sich jetzt denkt, jaja, schreibt keine bash history, der sollte mal "w -f" aufrufen.
Die kleine Zeile kann auch um einiges mehr..

 

[bitmuncher]

Die History-Daten sind ja nun nicht die einzigen Spuren, die man hinterlässt. Es gibt wohl nur wenige Server, die Logins nicht irgendwo abspeichern, oft läuft auch noch ein IDS, das Änderungen an Dateien oder komplett die User-Eingaben überwacht usw. Man hinterlässt also auch dann Spuren, wenn man die History unterbindet.

 

[aleph0ne]

Die einzigen Umfelder, die sich jeden Tripwire Report genaustens zu Herzen nehmen und wo die Netzwerkabteilung mit ihrem IDS der UNIX Abteilung mit ihren Kisten etwas meldet und dort das jemand auch ernsthaft behandelt, die ich bisher gesehen habe waren Militärs. Und selbst dort nur die "Hardcore Paranoid Freaks".
Die (Bord-)Mittel sind alle vorhanden. Aber wer, ausser der Heimanwender, nimmt sich denn die Zeit nachhaltig damit seine Systeme zu pflegen?

Die Netzwerkler machen das Netz IDS.
Die Maschinenleute machen Tripwire oder co.

Jeder macht seinen Job. Die Rechte weis nicht was die Linke tut. ^^
Und alle 2 Jahre krempelt eh jeder das Ganze um.

EDIT:

Sagen wir einfach mal, es ist keine Frage der technischen Machbarkeit.
Sondern, kein kommerziell supportetes (SLA & Verträge) UNIX System kommt in seiner Standardinstallation mit solchen Features daher. Leider.

Oder anders: Welches UNIX System lässt standardmässig NICHT zu, seine .*history zu leeren oder löschen?
Und: Wenn man root werden darf, darf man eh alles. Auch Logfiles manipulieren.

Selbst bei RBAC oder MAC(H) Systemen kann root zu usern switchen oder mittels umdefinieren von Policies sein unwesen treiben.

 

[bitmuncher]

Hab ja keine Ahnung, in was für einem Umfeld du arbeitest, aber ich lese täglich die Logs vom Dateimonitoring und vom IDS der Server, für die ich zuständig bin. Im Serverbereich ist das das Mindeste, was man als Admin für die Sicherheit zu tun hat. Dateien im System nicht zu überwachen und die IDS-Logs nicht täglich zu prüfen, hätte in den meisten Firmen, mit denen ich bisher zu tun hatte, eine Vernachlässigung dargestellt und wäre ein Grund zur Kündigung.

Es ist also mit Sicherheit nicht nur das Militär, das sich um die Sicherheit seiner Server kümmert. Gerade bei Tripwire kann man das soweit automatisieren, dass man sämtliche Änderungen an Dateien täglich per Mail zugeschickt bekommt und mit FAM kann man problemlos eine Echtzeitüberwachung implementieren.

Dass man sich aber allgemein in großen Rechenzentren (werde hier besser keine Namen nennen) nicht allzusehr um Sicherheit kümmert, ist mir durchaus auch schon aufgefallen. Das ändert sich im entsprechenden Rechenzentrum immer erst dann, wenn mal einige dutzend Server mit einem Streich erfolgreich angegriffen wurden und niemand nachvollziehen kann wie es zum Angriff kam. Spätestens dann machen die Netzwerker nicht nur IDS und die Maschinenleute Tripwire. Erfahrungsgemäss bekommt dann plötzlich jeder Admin im RZ die Verantwortung über bestimmte Server, wo er sich um alles kümmern muss. So zumindest meine Erfahrung. In manchen Firmen geht es sogar soweit, dass es Teilzeitkräfte gibt, die nichts anderes zu tun haben als Logs zu lesen und Unregelmässigkeiten an die zuständigen Admins zu melden.

 

[aleph0ne]

Meistens schützt eine 50 Mann Truppe keine Daten die bei bekanntgabe 50 bis 100 Millionen wirtschaftlichen Schaden verursacht.
Das sind dann die kleinen RZ's. Die machen alles gewissenhalt, kennen sich aus, und es funktioniert.

Aber in den großen RZ's, da muss ich dir beifplichten, ist es wirklich so (rechte weis nicht was linke tut).


Jedoch, hab ich noch keine Firma gesehen in den Teilzeitkräft Logfiles wälzen.
Ich möchte einen Manager sehen, der diese Kosten der Geschäftsführung gegenüber verantwortet.
Kopf ab und gute Nacht.

 

[naked_chef]

eine gute infrastruktur setzt sich aus mehreren komponenten zusammen.
meist ist die erste instanz eine FW die einen verbindungsversuch logt.
als zweites fällt es den IDS / IPS auf und zum schluss logt meist noch samhain / tripwire auf dem host mit. meist werden alle systeme über eine monitoring software wie nagios zusammengeführt. eigene erweiterungen von nagios (wenn nötig) sorgen dafür das die wichtigen logs regelmässig abgefragt und ausgewertet werden. gutes monitoring ist alles!

wenn du einen server in solch einen security-struktur angreifst, wird dein geringstes problem die logs auf dem eigentlichen host sein.

wenn du die bash_history löscht sollt einem admin das auch recht schnell auffallen!
zumal die befehle die du nutzt, root-rechte benötigen. da in vielen umgebungen systeme auch immer öfters "Mandatory Access Control" zum einsatz kommt. ist es sehr wahrscheinlich das jede root-aktivität sofot eine warnung auslöst.