The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Аудит системных пользователей (можно через Ansible)
Очень часто, на новом месте, хочется понимать всю картину (от слова совсем),
кто какие ключи, какой пользователь, какой сервер и т.д. Простите за качество,
но работает, суть в следующем, скрипт запускается на сервере (python2 без
зависимостей), нагло грепает /etc/passwd /etc/shadow и пользовательские
authorized_keys. В stdout выдает только тех пользователей у которых
присутствует пароль и/или приватный ключ (читай могут войти удалённо):

Скрипт: https://github.com/iHile/InventoriZE
Копия: https://www.opennet.dev/soft/audit-system-users.py

В Ansible интегрируется банально просто:

   - name: Executing audit-system-users script...
     script: "audit-system-users.py --json"
     environment:
       INVENTORY_HOSTNAME: "{{ inventory_hostname }}"
       INVENTORY_GROUPS: "{{ group_names | join(',') }}"
       ANSIBLE_DATE_TIME_ISO8601: "{{ ansible_date_time.iso8601 }}"
       ANSIBLE_HOST: "{{ ansible_host }}"
       INVENTORY_DESCRIPTION: "{{ inventorize_description }}"
     args:
       executable: "{{ ansible_python.executable }}"
     register: audit_system_users_run

Предложенный вывод можно скармливать в ELK и получить довольно чёткую картину происходящего.

p.s. Обратите внимание, что никаких штук вроде LDAP/FREEIPA - не нужно, утилита
самодостаточно грепает активных пользователей и выдает в stdout/json
 
19.02.2020 , Автор: ilya
Ключи: ansible, audit, user / Лицензия: CC-BY
Раздел:    Корень / Администратору / Система / Syslog, ведение логов

Обсуждение [ RSS ]
  • 1.2, brzm (ok), 01:45, 20/02/2020 [ответить]  
  • +/
    А что дальше с этой информацией делать? Если у тебя 1000 хостов и каша на них? Какая задача решалась, можно поподробнее?
     
     
  • 2.3, Пшпшпшп (?), 09:04, 20/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну увидел лишние учетки, сделал через ансамбль userdel, мало ли кому там какой доступ в прошлом давали, очень полезная штука, автору спасибо!
     
  • 2.7, abu (?), 05:08, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Более того - если еще и предыдущие ansible-писатели, например, поначертили кучу всего на тему развертывания, а на тему корректного удаления ничего не сделали своих развертываний ничего не сделали, и поди разбери к чему приведет простой userdel.
     

  • 1.4, Аноним (-), 22:36, 20/02/2020 [ответить]  
  • +/
    У автора большие проблемы с языком. И не только русским...
     
     
  • 2.5, Аноним (5), 08:05, 21/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Простите, в школе до 8 класса учился, дальше терпеть этот бред не смог.

    А суть простая  - в Кибане оч просто расправляться с большими объемами документов ( агрегации оч помогают ). Пару дашбордов, пару правильных фильтра - и у тебя на руках отчет, кто где, когда.

    p.s. простите за могучий, тройка у меня по нему была :'\

     
     
  • 3.6, Аноним (5), 08:09, 21/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А вот тут можно поплакать с моего Русизма

    https://github.com/iHile/InventoriZE

    (сборная роль, хосты, пакеты, юзеры )

    Вот набрали Вы (регулярно) такой статистики и сразу видно, когда уязвимый пакет/юзер появился, а главное где :)

     
  • 3.8, анон (?), 15:34, 28/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Попробуй читать книги на русском языке, помогает.
     


     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру