Logowanie aktywności w SFTP

SFTP to na pewno wygodniejsza i bezpieczniejsza usługa od FTP, aczkolwiek w standardzie nie zawiera logowania aktywności. Widzimy tylko w logach systemowych, że ktoś się logował, ale już nie wiemy co robił. Bezpieczeństwo serwerów przekładamy ponad wszystko inne więc warto jest uruchomić logowanie wszelkiej aktywności w podsystemie SFTP. Możemy to prosto zrobić w każdym systemie Linux jeżeli mamy pakiet OpenSSH w wersji co najmniej 4.4.

Dokonujemy tego przez edycje dwóch plików i na przykładzie Debiana wygląda to tak:

Pierwszy:/etc/ssh/sshd_config

gdzie podmieniamy:

Subsystem sftp /usr/lib/openssh/sftp-server

na:

Subsystem sftp /usr/lib/openssh/sftp-server -f LOCAL5 -l INFO

Drugi: /etc/rsyslog.conf

gdzie dodajemy np. na końcu pliku linie:

local5.* /var/log/sftpd.log

Następnie wystarczy przeładować usługi i mamy uruchomione logowanie do pliku /var/log/sftpd.log – tu warto też dodać ten plik do rotacji logów by za bardzo nie urósł 😉

CVE-2016-5195 – Dirty Cow – Poważne zagrożenie dla serwerów Linux

W sieci dość spore zamieszanie wywołała poważna luka bezpieczeństwa o nazwie „Dirty Cow” – „Brudna Krowa” której przypisano numerek CVE-2016-5195. Więcej informacji na dedykowanej stronie: https://dirtycow.ninja/

W olbrzymim skrócie:

Zagraża ona wszystkim serwerom Linux zainstalowanym w ostatnich latach. Pozwala na podniesienie uprawnień które może spowodować spore problemy bezpieczeństwa w różnych instalacjach serwerowych. Najgorszym jest to, że w internecie został opublikowany exploit wykorzystujący dziurę. Błąd jest co prawda lokalny więc atakujący musi mieć dostęp do systemu, aczkolwiek potencjalnie można wykonać kod exploita przez np. dziurę w serwisie www co mocno zwiększa zagrożenie.

Nie ma innego sposobu niż nałożenie łaty na jądro systemowe czy wykonanie jego aktualizacji. W przypadku tego błędu nie pomaga nawet popularne Grsecurity.

Zachęcamy więc wszystkich do szybkich aktualizacji swoich swoich serwerów i zabezpieczenia przed tą podatnością na atak.

 

W przypadku problemów lub chęci zabezpieczenia swoich serwerów zapraszamy do kontaktu: https://netfs.pl/kontakt

 

ps. pamiętajmy, że po aktualizacji musimy przeładować system, jeżeli nie korzystamy z pakietu Kernel Care.