datfunzt
Anmeldungsdatum: 20. Juli 2014
Beiträge: Zähle...
|
Hallo, gelegendlich benötige ich externe Hilfe von einem Server Administrator, speziell für Linux Ubuntu. Dazu benötigt dieser dann natürlich root Rechte. Schnell mal gegeben, könnte es doch tatsächlich vorkommen, dass dort Spammailer installiert werden o.ä. Unfug betrieben wird. Gerade, wenn man einen unbekannten Server Administrator auf selbstständiger Basis nur für spezielle Probleme kurz anstellt, wird Vertrauen gerne mal überschätzt. Mit "History | more" kann man auch wunderbar sehen, was da so alles verzapft wurde. Aber der findige Server Admin gibt evt. dann einfach versehendlich "History -c" ein und schon kann ich nicht mehr sehen, ob irgendwelche Hintertürchen geöffnet wurden oder sonstiger Unsinn auf dem Server gemacht wurde. Gibt es eine Möglichkeit genau nachzuverfolgen, was der Server admin auf dem Server macht, ohne dass dieser die Spuren verwischen kann? Vielen Dank im Vorraus!
|
Lookbehind
Anmeldungsdatum: 28. Januar 2010
Beiträge: 1070
|
Wenn er wirklich root-Rechte hat, nein. Root kann alles, root darf alles, für root gibt es auf dem System keine Beschränkungen. Und aus großer Macht folgt große Verantwortung. Vielleicht sollte man sich überlegen, wen man da als root an das System ran lässt.
|
hoerianer
Anmeldungsdatum: 14. August 2012
Beiträge: 3146
Wohnort: Bodensee badische Seite ;-)
|
Also wenn man selbst keinerlei Ahnung hat und auch externen Helfern nicht vertrauen möchte oder kann, dann frage ich mich, weshalb man dann selbst einen Server im Netz betreiben muss und nicht einfach auf eine Hostinglösung zurückgreift? Vielleicht kann der TE aber auch mal an einem konkreten Beispiel genauer erklären worum es denn geht.
|
datfunzt
(Themenstarter)
Anmeldungsdatum: 20. Juli 2014
Beiträge: 11
|
Wenn man als Geschäftsführer einer richtigen Firma immer alles selber machen müsste, dann gäbe es nur "Tante-Emma-Läden". Klar kenne ich mich mit der Serveradministration aus, aber ich bin dort kein Experte und wenn man es hostet hat man das gleiche Problem. Der Provider bzw. der bearbeitende Mitarbeiter hat auch Detailwissen, mit dem es möglich ist Unfug zu betreiben. Deshalb denke ich, dass meine Frage durchaus berechtigt ist. Gibt es da wirklich keinerlei Möglichkeiten? Also History | ist schon einmal nützlich, kann aber manipuliert werden. Die User kann man Auflisten und die Userlogs auslesen. Also wann sich ein User am System angemeldet hat. Kann mir ehrlich gesagt gar nicht vorstellen, dass es dafür keine professionelle Lösung gibt. Ich beauftrage einen Server Admin z.B. mit der Installation und Konfiguration von Varnish und memcahced. Das sollten ohnehin besser Fachleute machen, die da Ahnung von haben. Jetzt würde ich diesen Admin aber gerne überwachen. Vertrauen ist gut - ich kenne den Mann - Kontrolle ist besser.
|
jug
Ehemalige
Anmeldungsdatum: 19. März 2007
Beiträge: 12335
Wohnort: Berlin
|
datfunzt schrieb: Ich beauftrage einen Server Admin z.B. mit der Installation und Konfiguration von Varnish und memcahced. Das sollten ohnehin besser Fachleute machen, die da Ahnung von haben. Jetzt würde ich diesen Admin aber gerne überwachen. Vertrauen ist gut - ich kenne den Mann - Kontrolle ist besser.
Dafür gibt es bei den Hosting-Providern sogenannte „Managed Server“, man zahlt etwas mehr, dafür hat man professionelles Personal, das sich darum kümmert. Der Rest ist vertraglich und gesetzlich geregelt und durch den System Administrator's Code of Ethics. Man kann natürlich auch immer irgendwelche Freelancer anheuern, dann hat man genau das von dir geschilderte Problem, aber auch da gibt es Gesetze und Verträge an die man sich dann halten kann. Und man sollte sich halt überlegen, wem man da vertraut. Es gibt da keine zuverlässige Weise das zu überwachen, zumindest keine, die root nicht abschalten könnte (root darf alles). Ich nehme an, man kann sich da alles Mögliche zurecht basteln. Mit apparmor und ähnlichem das System vernageln und einen „admin“-Benutzer anlegen, der nur bestimmte Dinge darf, die halt für die jeweilige Aufgabe notwendig sind … aber bis man das mal konfiguriert hat, kann man die anfallende Arbeit auch gleich selbst erledigen. Und selbst wenn wir das mal annehmen und du alles überwachen würdest – wenn du genug Kenntnisse hast um alles im Detail nachzuvollziehen und missbräuchliches Verhalten zu identifizieren, dann könntest du es in der selben Zeit einfach selbst machen. Ansonsten fällt mir nur indirektes Monitoring ein. Also das Verhalten des Servers von außen überwachen. Wenn der plötzlich Verbindungen aufbaut oder mehr Traffic verbraucht, usw. Sowas könnten Signale sein. Also prinzipiell schließe ich mich anderen hier an: lass niemanden an deinen Server, dem du nicht vertraust. Üblicherweise bleibt man da auch bei einem Partner. ~jug
|
datfunzt
(Themenstarter)
Anmeldungsdatum: 20. Juli 2014
Beiträge: 11
|
Ich dachte es gibt Lösingen dazu. Dann versuche ich halt selber ein programm zu schreiben was mails sendet falls sich ein user anmeldet und jeweils bei command eingabe. Ich dachte so was gibt es out of thebox. Generell hat das auch den Voteil das man Komplexe Probleme gemeinsam lösen kann. Dann sehe ich ja genau was dort gemacht wird. Und das Verändern dieses Programms könnte man dann per appamor sperren. Also das müsste doch so funktionieren? Hat jemand da einen Ansatz?
|
Lookbehind
Anmeldungsdatum: 28. Januar 2010
Beiträge: 1070
|
In der Zeit, in der du das Programm geschrieben und so abgesichert hast, dass es deinen Anforderungen entspricht, hast du die administrativen Aufgaben die du da outsourcen möchtest, schon 3x selbst erledigt. Mal abgesehen davon: Wenn der andere wirklich root ist, kann er dein Programm auch wieder abschalten 😉
|
datfunzt
(Themenstarter)
Anmeldungsdatum: 20. Juli 2014
Beiträge: 11
|
Würde im Umkehrschluss bedeuten, dass appamor ein sinnloses Programm ist. Also ich bin da anderer Meinung. Aber es ist sicherlich auch nicht ganz leicht. Da gebe ich dir recht. Ich bin nur wirklich verwundert, dass alle ein uneingeschränktes Vertrauen zu Ihren Providern und Server admins haben. Hab ein Paar informationen gefunden: http://superuser.com/questions/186020/how-can-i-log-ssh-access-attempts-and-keep-track-of-what-ssh-users-end-up-doing Logwatch, sshd, auditd Also es scheint da doch einiges an Möglichkeiten zu geben. Kennt sich damit einer aus?
|
hoerianer
Anmeldungsdatum: 14. August 2012
Beiträge: 3146
Wohnort: Bodensee badische Seite ;-)
|
datfunzt schrieb: Würde im Umkehrschluss bedeuten, dass appamor ein sinnloses Programm ist.
In dem Sinn ja, denn es regelt keine Benutzerverwaltung.
Also ich bin da anderer Meinung.
Naja schön. Dann erstelle doch ein Projekt dazu und stell es anschliessend hier ins wiki.
Aber es ist sicherlich auch nicht ganz leicht.
Nicht ganz leicht bis fast unmöglich.
Ich bin nur wirklich verwundert, dass alle ein uneingeschränktes Vertrauen zu Ihren Providern und Server admins haben.
Wie gesagt, entweder man macht es selbst weil man es kann und die Ressourcen hat, ober man sucht sich einen Partner, dem man vertraut. Wenn man sein Auto in die Werkstadt bringt, muss man auch auf das vertrauen, was einem da vorgetragen wird. Ich prüfe eigentlich nie ob das Öl gewechselt wurde oder die Lampen richtig eingestellt sind. Dafür bezahle ich Geld und erwarte, dass es ordentlich gemacht wird.
Hab ein Paar informationen gefunden: http://superuser.com/questions/186020/how-can-i-log-ssh-access-attempts-and-keep-track-of-what-ssh-users-end-up-doing Logwatch, sshd, auditd Also es scheint da doch einiges an Möglichkeiten zu geben. Kennt sich damit einer aus?
Überlege doch mal selbst, wenn Du als User root die komplette Kontrolle über ein System hast, also alle Dienste und Logs damit beeinflussen kannst, wie willst Du dann root überwachen? Dazu benötigt man ein Berechtigungskonzept, bei dem es noch einen User, Profil oder Berechtigung gibt, die noch mehr als root kann und darf, sowie eine Logverwaltung, die Datenbankgestütz ist. Betriebssysteme sind dafür nicht ausgelegt, da muss man so gut wie alles umbauen. Ein ganz "einfaches" Beispiel: versuche einen User als Printadmin zu kreieren, der die komplette Druckerverwaltung am System administrieren kann, alle dafür notwendigen Dienste usw. beeinflussen kann - aber keine Logs im Bereich Druck löschen - bzw. das Löschen soll dann mitdokumentiert werden. Achja, natürlich darf dieser user nciht root sein. Und genau das dann umgesetzt auf das komplette System - so definitiv nicht möglich. Bei allen Versuchen ist der entscheidenden Punkt, hat der user root-Rechte, hat er alle macht über das System.
|
datfunzt
(Themenstarter)
Anmeldungsdatum: 20. Juli 2014
Beiträge: 11
|
Ja das habe ich geahnt. Ich denke das ist eine riesige Sicherheitslücke des Internets allgemein. Ich denke solche Kontrollmechanismen sollten genauso zum Os gehören, wie ein Warnlicht für defekte Bremsen beim Auto. Watchdog in Kombination mit einer bestimmten Konfiguration könnte dennoch etwas nützen, wenn auch nur wenig.
|
hoerianer
Anmeldungsdatum: 14. August 2012
Beiträge: 3146
Wohnort: Bodensee badische Seite ;-)
|
datfunzt schrieb: Ich denke das ist eine riesige Sicherheitslücke des Internets allgemein.
Warum sollte das eine Sicherheitslücke des Internets sein? Das verstehe ich nicht.
Ich denke sowas sollte genauso zum Os gehören, wie ein Warnlicht für defekte Bremsen beim Auto.
Hat ja nicht jedes Auto 😉 Abgesehen davon, ist die Umsetzung schwierig aber sicherlich machbar. Du wolltest ja etwas dazu bauen 😉
|
datfunzt
(Themenstarter)
Anmeldungsdatum: 20. Juli 2014
Beiträge: 11
|
Ja selber programmieren. Jedesmal bei command Eingabe und beim Login soll eine Mail versand werden. Wenn die mail ersteinmal versendet wurde ist eine Ànderung der logs eh sinnlos. Und dieser Dienst bekommt dann einen schicken Namen wie sshdx. Kann halt schon verwechselt werden, wenn man darauf nicht gefasst ist. Also so unglaublich schwer ist das sicherlich auch nicht. Um so ein System zu manipulieren, müsste man schon sehr trickreich sein. Die normalen Null Acht Fünfzehn Admins haben so keine Chance. Du sagst es doch selber. Geht nicht gibs nicht mit root Rechten 😀
|
hoerianer
Anmeldungsdatum: 14. August 2012
Beiträge: 3146
Wohnort: Bodensee badische Seite ;-)
|
Naja vielleicht wäre ja ein Ansatz, dass man die Tastatureingabe abfrägt und mitloggt 😉 Nur so auf die Schnelle mal überlegt...... Auf der anderen Seite müssen diese Protokolle eben auch ausgewertet werden. Hier kommt dann wieder die Zeit zur Sprache und man muss wissen, was die Person denn da auch gemacht hat - also ein gewisses Verständniss muss da sein. Tja und rechnet man das alles zusammen würde ich zu dem Ergebniss kommen ich mache es entweder selbst, dann weiss ich, dass es gemacht wurde und wie oder ich suche mir jemanden, der anhand von einem Pflichtenheft ausführt was ich will und dies dann auch dokumentiert und unterschreibt. man kann da die tollsten Verträge mit externen Mitarbeitern machen, die auch im Fall der Fälle vor Gericht stand halten.
|
verdooft
Anmeldungsdatum: 15. September 2012
Beiträge: 3990
|
Hallo, "Logging sessions on an SSH server" https://www.jms1.net/ssh-record.shtml ist allerdings älter, ob das noch funktioniert, weiß ich nicht. Ein root kann das natürlich auch beenden. Eine Person, der ich nicht vertraue, bekäme bei mir keinen Rootzugriff.
|
datfunzt
(Themenstarter)
Anmeldungsdatum: 20. Juli 2014
Beiträge: 11
|
Vielen Dank für die Tipps! Wie gesagt mit dem Vertrauen hardere ich noch ein wenig. Ich habe auf meinen Servern einige Scripte die bestimmt so um die 100000€ Wert sind. Diese Scripte wurden von Entwicklerteams über einen längeren Zeitraum entwickelt. Wenn ich 1000000€ habe drücke ich die auch nicht jemand in die Hand und sage ich vertraue dir mal. Du arbeitest ja bei HansisLimo. Und wie gesagt. Aber ich sehen schon. Wirkliche Lösungen gibt es dazu momentan einfach nicht. Und ich mache alles selber ist irgendwie auch kein Argument. Der Tag hat leider nur 24 Stunden, auch wenn Schlaf völlig überbewertet wird 😬
|