Tag!

Ich habe das Problem einen Server mit einigen Usern zu überwachen.
Wie kann ich schnell feststellen welcher User was zuletzt gemacht hat (z.B. welche Files aus einem Public directory downgeloadet?
Oder vieleicht Rechteverstösse?

Thx

Es gibt ein kleines tool namens dazuko (DAteiZUgriffsKOntrolle), das vielleicht das gewünschte leistet.

Mir sei die Bemerkung gestattet, dass ich so etwas für unmoralisch und sinnlos halte.

mamue

Original geschrieben von mamue
Es gibt ein kleines tool namens dazuko (DAteiZUgriffsKOntrolle), das vielleicht das gewünschte leistet.

Mir sei die Bemerkung gestattet, dass ich so etwas für unmoralisch und sinnlos halte.

mamue

Da kann ich nur zustimmen.

Gruß

Hi!

Sehe ich auch so. Wenn man sein System gut konfiguriert hat, ist es eigendlich nicht mehr nötig seine User zu überwachen...

Für mich wäre eine solche Überwachung ein Kündigungsgrund..

Grüße



:ugly: Kernel-Error :ugly:

Danke für dazuko - werd ich mir ansehen!
An die Anderen:

Ihr habt meiner Meinung nach zu wenig Information für eure Aussagen. Was hab' ich denn geschrieben was euch so in Rage versetzt?

1. Mit User kann ich ja wohl alles Mögliche gemeint haben (Könnten automatisierte Clients sein?)
2. Überwachung ist kein negatives Wort - egal was ihr da reininterpretiert.
(Stichwort debugging)
3. Es ist legitim Rechteverstösse auf meinem System zu überwachen. Honeypots sind unmoralisch? Einbrechen ist unmoralisch!
4. Es gibt teilweise rechtliche Verpflichtungen zu dieser Thematik.

Dankeschön

du kannst dir auch die bash_history der user ansehen bzw scrpitautomatisiert durchsuchen lassen - nach bestimmten stichwörtern, befehlen

Original geschrieben von 23r0
Danke für dazuko - werd ich mir ansehen!
An die Anderen:

Ihr habt meiner Meinung nach zu wenig Information für eure Aussagen. Was hab' ich denn geschrieben was euch so in Rage versetzt?

1. Mit User kann ich ja wohl alles Mögliche gemeint haben (Könnten automatisierte Clients sein?)
2. Überwachung ist kein negatives Wort - egal was ihr da reininterpretiert.
(Stichwort debugging)
3. Es ist legitim Rechteverstösse auf meinem System zu überwachen. Honeypots sind unmoralisch? Einbrechen ist unmoralisch!
4. Es gibt teilweise rechtliche Verpflichtungen zu dieser Thematik.

Was ist denn das für eine gequirlte K....?
Bin ich denn blöd? Du tust so als könnte ein user auch ein Prozess sein und legst uns zwei Sätze weiter in den Mund, wir würden aktive Sicherheitsmassnahmen für unmoralisch halten?
Ein Honeyspot überwacht niemanden, sondern ist lediglich ein süsser Köder für _vermeintliche_ Einbrecher.
Wenn Du von irgendeiner Person des privaten Rechts die Dateizugriffe protokollierst, dann ist das, mit oder ohne Einverständniss der "user" abstossend unmoralisch.
Deine unrefliktierende Betrachtungsweise ist erschreckend.
Und Nr. 4 ist schlicht falsch, schau Dir das Telekommunikationsgesetz an.

mamue

Nu mal ruhig hier. Prinzipiell ist Überwachung von Usern mit Vorsicht zu genießen, da gibt es sehr enge Richtlinien, aber ich denke, das wissen wir alle.

Also habt euch wieder lieb!

Hi!

Jedes klicken eines User zu überwachen, jede Datei die er bewegt und jeden Befehl in der Bash zu loggen... Das finde ich ist nicht mehr schön.

Ist ja so, als würde der Root / Admin den ganzen Tag neben einem Stehen und auf die Finger und den Monitor glotzen...

Grüße


:ugly: Kernel-Error :ugly:

also ihr könnt sagen was ihr wollt aber ich überwache meine user auch, naja was heist überwachen. es ist mehr ein loging. sollte dann was put sein im system weil jemand meint er müsste sein hacker können beweisen dann werden die logs durchforstet.

aber prinzipiel ist es so das wenn der user zustimmt das solche dinge gelogt werden dann ist es so.

aber wisst ihr was, jeder soll machen das was er denkt. mir ist das egal

Prozessdaten mitprotokollieren ist die eine Sache. Wenn diese systematisch usern zugeordnet werden ("schaun wir mal, was Meyer denn so gesurft hat"), dann geht das auch nicht mit seiner Zustimmung, AFAIK. Es ist allerdings wohl ein gravierender Unterschied, ob das private surfen erlaubt oder ob es verboten wurde.
Offen gesagt, will ich gar nicht wissen, was jeder user so treibt, ich will denen schliesslich noch auf dem Flur ins Gesicht sehen können ;-) Wenn user Schulze mal wieder die Webseiten der Partnervermittlung angewählt hat, dann ist das schlicht unerheblich und belastend. Wenn er mal wieder Programme gezogen hat (z.B. icq) dann brauche ich nur ein
find /home/other/user -type file -iname "*.exe" -exec rm \{\} \;
und die Sache ist erledigt. Wenn er dann rumschreit, ist er blöd.

mamue

Ich bin natürlich auch kein 1984 Fanatiker, und natürlich will ich selbst auch nicht überwacht werden. Wer allerdings versucht an vertrauliche Daten zu kommen, bekommt bei mir auf die Finger.
Deshalb dieser Thread - weil es nett wäre eine automatisierte Protokollierung von Rechteverstössen auf einem System zu haben. Was ist daran unmoralisch? Jemand arbeitet mit einem Bohrhammer an meiner Eingangtür und mir ist das egal? Also bitte!
Und zu checken welcher User welchse File gezogen hat kann einfach nur sinvoll sein in einem Unternehmen, einfach um zu checken wer auf welchem Stand ist. (Was zum download bereit gestellt wird würden in diesem fiktiven Beispiel ja schliesslich ich bestimmen) - Wer wann, wie lange und wie oft welche Pr0n-Site besucht hat ist mir völlig egal...

Was die rechtliche Verpflichtung angeht User zu überwachen:
Na dann lasst uns doch alle mal anfangen hier fröhlich Pr0n- und Nazimüll zu posten, mal sehen wie's dann mit der Überwachung aussieht...

Original geschrieben von 23r0
Ich bin natürlich auch kein 1984 Fanatiker, und natürlich will ich selbst auch nicht überwacht werden. Wer allerdings versucht an vertrauliche Daten zu kommen, bekommt bei mir auf die Finger.
Deshalb dieser Thread - weil es nett wäre eine automatisierte Protokollierung von Rechteverstössen auf einem System zu haben. Was ist daran unmoralisch? Jemand arbeitet mit einem Bohrhammer an meiner Eingangtür und mir ist das egal? Also bitte!

Es atet hier in ein Flamewar aus. Ich versuche mal, mit Bezug auf die eigentliche Frage, sachlich zu bleiben.
Voweg eine kleine Unterstellung: Ich denke schon, dass Du ein 1984 Fanatiker bist.
Die Form von Rechteverstößen, die Du beschreibst, deckt ein ordentlicher Zugriffsschutz auf. Es gibt für die, denen es wichtig ist, "Security Enhanced Linux" und verschieden andere Mittel um das System sicher zu machen und einen Einbruch zu verhindern. Dazu gehört dann bestimmt auch der Einsatz eines geeigneten Dateisystems, z.B. XFS aber auch die Sicherung an ganz anderen Stellen. Ab hier wird die Sensibilisierung der Mitarbeiter sehr wichtig und genau das erreichst Du durch diese Holzhammermethode nicht - Du verärgerst und provozierst sie. Ruf doch mal einen beliebigen Mitarbeiter an und sag ihm Du bräuchtest das Passwort weil bei einer routinemäßigen Sicherung irgendwas schief gegangen sei und wenn er seine Mail wieder haben will bla bla... Oder stell Dich doch mal hinter die Leute - Du wirst das Passwort zuallermeist mitlesen können.
DaZuKo ist da eher ungeeignet, denn es ist eher als Monitor gedacht, nicht als Schutz.
Du stellst alle Mitarbeiter unter Generalverdacht. Das mit dem Borhammer ist nonsens, bleib sachlich und ehrlich.

mamue

jungs und mädels, bleibt mal ganz ruhig.

überwachung per se ist schlecht. punkt.

es ist eine sache, verstösse gegen eine policy zu protokolieren, ein andere, per se die user zu überwachen.

das erste geht vollkommen in ordnung. wenn ich meyer sage, in der finanzbuchhaltungsdaten hat er nichts zu suchen und er versucht es trotzdem und dieser verstoss wird protokolliert, gibts was auf die finger. das ist aber ein grosser unterschied zu einer globalen überwachung.

genauso verhält es sich mit proxy-logs. hier wird nur protokolliert, dass meyer gegen die policy verstossen hat, nicht welche seite er genau wie oft und wann aufgerufen hat.

so nun habt euch wieder lieb.

-j

Ich wollt nur zugeben, es gibt einen speziellen Kernel, mit dem man die
Policies (Richtlinien) genau vergeben bzw setzen kann.

Ich hab mal auf google sowas gefunden, wenn ich den Link noch finde
poste ich ihn hier!

mfg Michael

Wie gesagt, SEL, oder SELinux:
http://www.nsa.gov/selinux/

mamue

Original geschrieben von mamue
Wie gesagt, SEL, oder SELinux:
http://www.nsa.gov/selinux/


oder LIDS. oder RSBAC. oder MEDUSA.

-j