Monitorar serviço nos servidores.

avoliveira
(usa Red Hat)

Enviado em 25/02/2010 - 12:07h

Pessoal.
Estou com um problema aqui na empresa, temos alguns servidores que são acessados via VPN por uma empresa terceira, constatamos que existe pessoas que estão apagando diretórios de nossas aplicações ex.: /oracle alguem vai la e da um rm -rf /oracle e da pal em tudo...

Com isso comecei a monitorar os logs de acesso secure, messages e os history dos usuários logados no servidor.

Mais agora essa pessoa ficou mais experta, está removendo os diretórios via WINSCP ou SSH: File Transfer, com isso não sei como monitorar esse tipo de acesso que é feito atráves do SSH.

Alguem sabe alguma forma ou ferramenta de monitorar modificações feitas pelo WINSCP?

Ex .: adição, remoção e alteração de arquivo.

Lembrando que o usuário é genérico oracle10g.

Aguardo sugestões, agradeço a todos.

andrezc
(usa Debian)

Enviado em 25/02/2010 - 12:12h

Para REALMENTE você fazer o monitoramento da sua rede, você poderia usar o Nagios ou o Spong.

Mas esse lance aí, do SSH, você pode usar Jails, para limitar algumas coisas.

Segue um artigo bem completo do meu amigo Anderson :

http://www.vivaolinux.com.br/artigo/Jails-em-SSH-Montando-sistema-de-Shell-Seguro/

avoliveira
(usa Red Hat)

Enviado em 25/02/2010 - 14:41h

Bom acho que expliquei errado.

Não é monitoramento de servidor ou serviço, para isso eu instalei o Nagios na minha rede.

É assim .: Tenho um usuário oracle10g, que é o responsável por administrar o banco de dados do servidor e todos os arquivos de banco /oracle.
Existe alguem que utiliza esse usuário que loga e remove esses arquivos via rm -rf *, com isso perdia a instalação do meu banco, eu conseguia identificar atráves do history e /var/log/secure que o usuário tinha logado e removido os arquivos.

Agora a pessoa parou de logar via SSH e está logando com SFTP no servidor e removendo os arquivos.

Preciso saber como monitorar esse acesso, pois se a pessoa logar e remover um arquivo no linux não fica histórico pois e pessoa logou atraves de um programa de SFTP, eu identifico que o usuário logou mais não sei o que ele adicionou ou removeu, queria controlar isso.

Atenciosamente.

Ferrerinha
(usa Debian)

Enviado em 25/02/2010 - 20:29h

Você utiliza o Iptables?

Tenta utilizar a regra para gerar LOG

#iptables -A INPUT -p tcp -dport 22 -j LOG

Esta regra devera ficar anterior a regra de liberação da porta do SSH. O mesmo ficara armazenado no arquivo "/var/log/messages" com muitos detalhes.
Desta forma você tera um LOG em arquivo de todo o tráfego na porta do SSH.

Site com um tutorial sobre Iptables
http://www.gdhpress.com.br/redeseservidores/leia/index.php?p=cap11-6

miura 787
(usa Ubuntu)

Enviado em 27/02/2010 - 16:56h

Comece mudando as senhas de acesso do seu SSH, FTP e etc...


ATs
Miura 787