用eash实现linux的shell审计

mshtyu

【原文见 http://www.mshtyu.com/read.php?69】

大家都还记得安然吧，这个美国企业的倒闭，催生了SOX法案，强制要求上市公司对内部审计加强管理，包括内部IT治理。企业linux系统如果超过一定数量，管理员们肯定会碰到一个问题：当发生人为事故的时候，怎么才能知道这些问题是怎么发生的、是谁引起的呢？例如，某个人su到root，然后rm / -rf 了…… 先别冒汗，当主机超过1000台时，这种事情会经常发生。本文介绍一个软件包实现对linux shell的集中审计——enterprise audit shell

【软件包的获取】
eash软件包的作者是 dhanks@gmail.com ，这里下载，sourceforge，freshmeat。如果都找不到，你可以去mandriva（以前的mandrake）的软件包里面去找。

【软件功能特性】
1。符合COBIT标准
2。ITIL的最佳技术实现
3。Unix主机使用的企业级视图
4。符合SOX法案的企业级审计报告工具
5。审计报告可通过CSS定制
6。内置事务型数据传送，支持SQL92关系数据库，兼容ACID
7。可负载均衡
8。SSL加密传输
9。SSL公钥体系认证
10。文件传输、远程命令执行审计
11。用户默认shell可独立配置
12。审计日志带数字签名防止篡改
13。客户端、服务器端可配置，便于管理
14。会话超时机制
15。会话初始时显示企业策略信息

【软件工作原理】
参考下图：


eash是个shell的外壳，把它作为用户的login_shell


/etc/eas/eash_config 可以指定它调用的shell、logserver（可多个）、客户端登陆时的banner等


在server端，比较关键的是Sync，可以有退出同步、行同步（未测试成功）、全同步（低效，但可以实时看到客户端操作）


主要数据保存在sqlite数据库中，每次操作的session保存在日志文件中，可以用 eas_replay进行回放：


eas_replay ID 即可观看该ID的session整个console的输入输出，象动画一样，：）

eas_report 可生成简单报表：


【eash的bug和不足】
1。对sz/rz的支持先天不足，zmodem协议的问题；
2。对scp到被审计的server会引起sshd刮起，是sshd的bug，可修正；
3。session数据的动画方式可移植性不好
4。前端视图不足（开源嘛～）

其他的问题，有兴趣的可以跟我联系，