Hallo,
kenn jemand eine Möglichkeit, herrauszufinden welche User nicht vom Debian Paketsystem angelegt wurden?
ich möchte mir eine Überwachung basteln, welche genau dies überwacht...
Bin für jede Anregung dankbar,
thx Karsten
user ausserhalb Paket Installation finden
Re: user ausserhalb Paket Installation finden
Das Paketsystem legt Benutzer nicht im Minutenintervall an sondern nur, wenn Software isntalliert wird, und dann nur, wenn die Software auch nach einem eigenen User verlangt.vicodas hat geschrieben:kenn jemand eine Möglichkeit, herrauszufinden welche User nicht vom Debian Paketsystem angelegt wurden?
ich möchte mir eine Überwachung basteln, welche genau dies überwacht...
Für den Überwachungszweck würde es also genügen, wenn man /etc/passwd ansich auf Änderungen prüft. Das geht z.B. mit tripwire.
Re: user ausserhalb Paket Installation finden
schon klar 
Hintergrund ist ein Richtlinie des BSI, das keinerlei User, welche nicht vom System, per Paketsystem oder gewollt eingerichtet sind.
Ich will somit verhindern, das niemand, speziell kein böser Bube dies ungemerkt gemacht hat.
Schön wäre es, wenn man ein Tool zyklisch aufrufen könnte, welches dieses überwacht.
Die Idee mit dem "Snapshot" der passwd hatte ich auch, nur werden ja immer wieder user auch gewollt angelegt oder Software installiert.
Hier jedesmal zu eruieren, ob dies gewollt war stellt das Problem dar
vG
Karsten
Hintergrund ist ein Richtlinie des BSI, das keinerlei User, welche nicht vom System, per Paketsystem oder gewollt eingerichtet sind.
Ich will somit verhindern, das niemand, speziell kein böser Bube dies ungemerkt gemacht hat.
Schön wäre es, wenn man ein Tool zyklisch aufrufen könnte, welches dieses überwacht.
Die Idee mit dem "Snapshot" der passwd hatte ich auch, nur werden ja immer wieder user auch gewollt angelegt oder Software installiert.
Hier jedesmal zu eruieren, ob dies gewollt war stellt das Problem dar
vG
Karsten
Re: user ausserhalb Paket Installation finden
Naja, wenn man zyklisch Snapshots der passwd macht und dann ein diff zwischen dem vorletzten und letzten Snapschot macht, dürfte die Differenz in 99% aller Fälle keinen Unterschied ergeben. Bei dem verbleibenden 1% dürfte das Eruieren keinen großen Aufwand darstellen, zumal die Differenz in der Regel nur einen Benutzernamen rauswirft, der leicht zuzuordnen sein sollte.vicodas hat geschrieben:Hier jedesmal zu eruieren, ob dies gewollt war stellt das Problem dar
Re: user ausserhalb Paket Installation finden
Für die Anmeldung per SSH solltest du vielleicht zusätzlich das PAM-Modul pam_listfile.so (Datei /etc/sshd/ssh.allow) verwenden.
Natürlich musst du auch diese Datei überwachen.
Generell ist es wichtig alle von außen erreichbaren Dienste zu sichern. Auch musst du sicherstellen, dass deine normalen Anwender nicht unberechtigt root werden.
Wer jedoch einmal root war kann mit etwas krimineller Energie immer wieder root werden.
Oh ich habe mich gar nicht auf deine Frage bezogen. Wo empfiehlt denn das BSI das Vorgehen. Erscheint mir ziemlich sinnfrei.
Natürlich musst du auch diese Datei überwachen.
Generell ist es wichtig alle von außen erreichbaren Dienste zu sichern. Auch musst du sicherstellen, dass deine normalen Anwender nicht unberechtigt root werden.
Wer jedoch einmal root war kann mit etwas krimineller Energie immer wieder root werden.
Oh ich habe mich gar nicht auf deine Frage bezogen. Wo empfiehlt denn das BSI das Vorgehen. Erscheint mir ziemlich sinnfrei.
Re: user ausserhalb Paket Installation finden
Das BSI empfiehlt viel, wenn denen mal wieder langweilig ist. Eigentlich sollte man deren Empfehlungen als Kabarett interprätieren, und idealerweise genau das Gegenteil machen.uname hat geschrieben:Wo empfiehlt denn das BSI das Vorgehen. Erscheint mir ziemlich sinnfrei.