Предполагая, что я даю системному администратору временный ssh (root / sudo) доступ к моему серверу (Ubuntu 18.04), чтобы помочь с проблемой, как мне проверить, какие изменения были внесены этим человеком впоследствии?
Некоторые вещи, которые я хотел бы знать, включают информацию о том, какие файлы были отредактированы, какие файлы были созданы, какие файлы были открыты и т. Д.
Это журнал действий, где можно проверить такие вещи?
Как уже упоминалось, доверие возникает, когда кто-то имеет root-доступ к вашей системе. Я сделаю предположение, что этот человек, по крайней мере, не настроен враждебно.
Я бы сделал следующее:
aide, и может сказать вам, какие файлы были изменены. Это будет включать файлы журнала, файл истории оболочки и любые другие изменения, сделанные человеком (за исключением изменений типа враждебных руткитов, которые можно скрыть). Вам, вероятно, следует скопировать базу данных помощников из системы, просто из-за паранойи.aide это самый популярный монитор целостности файлов с открытым исходным кодом. Учебники (например, вот этот) и много Информация о его использовании имеются. У него есть пакет Ubuntu. Есть и коммерческие решения.
Вы можете проверить историю оболочки, но историю оболочки легко победить. По умолчанию даже простое добавление пробела к команде не позволит ей добавить ее в историю.
Чтобы сделать еще один шаг вперед, исследуйте возможности и использование pam_tty_audit и отправка этих журналов аудита на удаленный хост для просмотра. Коммерческие инструменты, которые проводят аналогичный аудит, будут такими: cmd.com.