[postfix-es] OT: Como y que Auditar cuando algo a fallado o ha sido alterado por mano Humana?

Jose j.sejo1 en gmail.com
Lun Oct 18 03:44:46 CEST 2010 

Muy buen dia.

Donde laboro implementamos diferentes politicas de seguridad de manera
local en cada servidor linux, entre las cuales usamos portsentry,
iptables, knockd, ssh y configuramos las shell de los administradores
para que utilicen sudosh y dejar grabadas las sesiones de los usuarios
para efectos de auditorias cuando se requiera.  A parte de todo esto
el sudo esta configurado por grupos y niveles de administracion, la
clave de root es compartida por 2 Coordinaciones y solo es utilizada
cuando es necesario. Nadie es ALL en sudo y solo se permiten ciertos
comandos para efectos administrativos.

Todo este ambiente de seguridad esta aplicado en servidores Linux
distribucion Debian, aparte de aplicar siempre los safe-upgrade para
actualizar el s/o.

Los servicios que controlan estos servidores son correo, dns, dhcp,
proxy (squid), ldap, samba, Apache, apache-tomcat, donde lo mas
critico son los servidores que tienen Apache y Apache-tomcat ya que
manejamos varios servidores y proxy-reverso con apache.

Mi pregunta,  Cuando algo ha fallado por una mala configuracion bien
sea por desconocimiento del administrador o en el peor de los casos
por proposito especifico (saboteo, trampas, entre otros...) Cuales son
los comandos que debo ejecutar para llegar a descubrir que usuario del
servidor hizo dichos cambios?

La idea es generar un check list para ir en orden. un paso a paso a
seguir, tubimos un caso critico hace meses y se logro descubir la
causa, sudosh nos ayudo mucho, lastlog, syslog, fecha de modificacion
de los archivos, pero no se tenia un paso a paso y todo fue
improvisado y corre corre.

Que otros programas puedo implementar o sustituir por los que ya tenemos?

Que comandos como lastlog puedo utilizar para obtener informacion de
login, creacion de archivos, quien lo creo, quien lo modifico,
historial de inicio de sesion por meses, horas, entre otros parametros
que se que van a ser muchos, pero que puedan ayudar a realizar una
auditoria con resultados confiables, que no dejen dudas y el
porcentaje de cosas que se puedan escapar sean minimos.

Muchas gracias por la atencion.

-- 
#############################
#   Sistema Operativo: Debian      #
#        Caracas, Venezuela          #
#############################

More information about the postfix-es mailing list