LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
查看: 1625|回复: 0

用eash实现linux的shell审计

[复制链接]
发表于 2006-11-16 21:01:09 | 显示全部楼层 |阅读模式
【原文见 http://www.mshtyu.com/read.php?69

大家都还记得安然吧,这个美国企业的倒闭,催生了SOX法案,强制要求上市公司对内部审计加强管理,包括内部IT治理。企业linux系统如果超过一定数量,管理员们肯定会碰到一个问题:当发生人为事故的时候,怎么才能知道这些问题是怎么发生的、是谁引起的呢?例如,某个人su到root,然后rm / -rf 了…… 先别冒汗,当主机超过1000台时,这种事情会经常发生。本文介绍一个软件包实现对linux shell的集中审计——enterprise audit shell

【软件包的获取】
eash软件包的作者是 dhanks@gmail.com ,这里下载,sourceforge,freshmeat。如果都找不到,你可以去mandriva(以前的mandrake)的软件包里面去找。

【软件功能特性】
1。符合COBIT标准
2。ITIL的最佳技术实现
3。Unix主机使用的企业级视图
4。符合SOX法案的企业级审计报告工具
5。审计报告可通过CSS定制
6。内置事务型数据传送,支持SQL92关系数据库,兼容ACID
7。可负载均衡
8。SSL加密传输
9。SSL公钥体系认证
10。文件传输、远程命令执行审计
11。用户默认shell可独立配置
12。审计日志带数字签名防止篡改
13。客户端、服务器端可配置,便于管理
14。会话超时机制
15。会话初始时显示企业策略信息

【软件工作原理】
参考下图:


eash是个shell的外壳,把它作为用户的login_shell


/etc/eas/eash_config 可以指定它调用的shell、logserver(可多个)、客户端登陆时的banner等


在server端,比较关键的是Sync,可以有退出同步、行同步(未测试成功)、全同步(低效,但可以实时看到客户端操作)


主要数据保存在sqlite数据库中,每次操作的session保存在日志文件中,可以用 eas_replay进行回放:


eas_replay ID 即可观看该ID的session整个console的输入输出,象动画一样,:)

eas_report 可生成简单报表:


【eash的bug和不足】
1。对sz/rz的支持先天不足,zmodem协议的问题;
2。对scp到被审计的server会引起sshd刮起,是sshd的bug,可修正;
3。session数据的动画方式可移植性不好
4。前端视图不足(开源嘛~)

其他的问题,有兴趣的可以跟我联系,
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表