In einer modernen IT-Landschaft, wo Effizienz und Sicherheit entscheidend sind, spielt nicht zuletzt die korrekte Konfiguration der Bash History eines jeden Linux Servers eine wichtige Rolle.<\/p>\n\n\n\n
Dies ist vor allem deshalb relevant, um jederzeit bestimmen zu k\u00f6nnen, welcher Benutzer welche Befehle ausf\u00fchrt und in welcher Reihenfolge er dies getan hat. Dies gilt auch wenn der User gleichzeitig \u00fcber mehrere SSH-Sitzungen auf die gleichen Systeme zugreift oder sogenannte Service-User eingesetzt werden. Rocky Linux 9, als robustes und sicheres Betriebssystem, bietet wie auch die bezahlte Variante Red Hat Enterprise Linux 9, eine solide Basis f\u00fcr Ihre Applikationsservers. In der Standardkonfiguration der beiden Systeme ist die Bash History jedoch limitiert und speichert nur die letzten 1000 Befehle. Auch werden standardm\u00e4ssig die bereits ausgef\u00fchrten Befehle erst beim Beenden der User-Session in die User-History geschrieben und nicht direkt nach jedem absetzen eines neuen Befehls. Dies bietet kein live-logging und ist zudem problematisch bei der gleichzeitigen Verwendung von mehreren Sessions, da so nur die Befehle der ersten SSH-Session protokolliert werden k\u00f6nnen. <\/p>\n\n\n\n
In diesem kleinen Blog-Beitrag erl\u00e4utern wir, wie diese Problematik einfach \u00fcberwunden werden kann und somit eine umfassende Nachverfolgbarkeit sicherstellt wird, die f\u00fcr effektive Sicherheits\u00fcberwachung und Compliance unerl\u00e4sslich ist.<\/p>\n\n\n\n
Um eine einfache und m\u00f6glichst schlanke Konfiguration der Bash History zu erm\u00f6glichen, schauen wir uns einmal das Verzeichnis Dieses spezielle Verzeichnis erlaubt uns, benutzerdefinierte Skripte bei jedem Start einer neuen Bash- oder Login-Shell f\u00fcr alle Benutzer auszuf\u00fchren und wie in unserem Fall Umgebungsvariablen zu definieren. Die Nutzung von Diese Konfiguration ist schnell und einfach durchgef\u00fchrt. Die gr\u00f6sste Herausforderung besteht beim Definieren der korrekten Umgebungsvariablen, welche wir hier bereits f\u00fcr euch vorgenommen haben. Im Verzeichnis Damit das file wie vorgesehen, beim n\u00e4chsten shell-logon korrekt ausgef\u00fchrt wird, muss dies noch ausf\u00fchrbar gemacht werden. Dies erreichen wir mit dem command: Unsere Anpassungen bewirken folgendes:<\/p>\n\n\n\n Die sofortige Protokollierung der von Benutzern oder Administratoren abgesetzten Befehle spielt auch eine zentrale Rolle bei einer Echtzeit-Sicherheits\u00fcberwachung, insbesondere beim Einsatz eines SIEM-Systems oder Log-Managements mit Elasticsearch. Erst durch das sofortige Weiterleiten aller getippten Befehle an das SIEM wird eine Echtzeit-\u00dcberwachung und -Analyse erm\u00f6glicht, was f\u00fcr die Erkennung von Sicherheitsvorf\u00e4llen auf UNIX-Systemen unerl\u00e4sslich ist. Die hier vorgestellte Konfiguration erleichtert forensische Aufgaben enorm, indem sie jederzeit sicherstellt, dass jedes Kommando, von jedem User sofort und mit einem genauen Zeitstempel versehen, f\u00fcr ein forewarding mit Filebeat (Agent von Elastic) und eine sp\u00e4tere Analyse zur Verf\u00fcgung steht.<\/p>\n\n\n\n Durch das Umsetzen dieser einfachen Bash History-Konfiguration k\u00f6nnen IT-Fachkr\u00e4fte mit wenig Aufwand ein h\u00f6heres Mass an Sicherheit und Compliance gew\u00e4hrleisten. In Kombination mit einer leistungsstarken SIEM-L\u00f6sung wie Elasticsearch bietet diese Konfiguration eine robuste Grundlage f\u00fcr die \u00dcberwachung und Analyse von Befehlsausf\u00fchrungen in Echtzeit, was in der heutigen schnelllebigen IT-Infrastruktur unerl\u00e4sslich ist.<\/p>\n","protected":false},"excerpt":{"rendered":" In a modern IT landscape, where efficiency and security are crucial, the correct use of the right ... <\/p>\n\/etc\/profile.d\/<\/code> genauer an.<\/p>\n\n\n\nWarum \/etc\/profile.d\/ ?<\/h3>\n\n\n\n
\/etc\/profile.d\/<\/code> im Gegensatz zu einer .bashrc<\/code> bietet einen systemweiten Ansatz, der sicherstellt, dass unsere Konfigurationen konsistent auf das gesamte System angewendet werden, ohne dass individuelle Benutzerprofile manuell angepasst werden m\u00fcssen.<\/p>\n\n\n\nDie Konfiguration<\/h3>\n\n\n\n
\/etc\/profile.d\/<\/code>, wird zum Beispiel mit dem Editor vim, eine neue Datei wie folgt angelegt# vim \/etc\/profile.d\/bash_history.sh<\/code> Der Name der Datei kann dabei frei gew\u00e4hlt werden, das einzig wichtige ist, dass sie mit .sh<\/code> endet und ausf\u00fchrbar ist. Wir gehen in den insert-modus ‚i<\/kbd>‚ f\u00fcgen folgenden Inhalt hinzu. Wir speichern anschliessend mit ‚ESC<\/kbd>‚ – :wq<\/code> – ENTER<\/kbd>:<\/p>\n\n\n\nexport HISTSIZE=-1\nexport HISTFILESIZE=-1\nexport HISTTIMEFORMAT=\"[%F %T] \"\nexport HISTCONTROL=ignoredups\nexport PROMPT_COMMAND=\"history -a; $PROMPT_COMMAND\"<\/code><\/pre>\n\n\n\n# chmod +x \/etc\/profile.d\/bash_history.sh<\/code><\/p>\n\n\n\n\n
HISTSIZE<\/code> und HISTFILESIZE<\/code> auf -1<\/code>):<\/strong> Im Gegensatz zur Standardbegrenzung von 1000 Commands, erm\u00f6glicht -1<\/code> die Speicherung einer unbegrenzten Anzahl von Commands in der History. Alte Eintr\u00e4ge <1000 werden somit nicht mehr automatisch gel\u00f6scht und bleiben erhalten.<\/li>\n\n\n\nHISTTIMEFORMAT<\/code>):<\/strong> Jeder Befehl in der History erh\u00e4lt zus\u00e4tzlich zur Nummerierung auch einen Zeitstempel. Dies ist besonders wichtig, um zu verstehen, welcher Mitarbeiter welche Befehle in welcher Reihenfolge ausgef\u00fchrt hat, selbst bei mehreren gleichzeitigen Sessions.<\/li>\n\n\n\nHISTCONTROL=ignoredups<\/code>):<\/strong> Diese Einstellung verhindert, dass wiederholte Befehle unmittelbar hintereinander in die History aufgenommen werden, was die \u00dcbersichtlichkeit massiv erh\u00f6ht.<\/li>\n\n\n\nPROMPT_COMMAND<\/code>):<\/strong> Durch das setzen von history -a<\/code> (append) und der Variable $PROMPT_COMMAND<\/code>, welche den effektiven Befehl des Benutzers beinhaltet, wird bei jedem neuen Befehl (Prompt Command) auch gleich das History Append ausgef\u00fchrt. So wird sichergestellt, dass selbst bei einer Unterbrechung einer der SSH-Sitzung(en) keine Daten verloren gehen. Dies ist ebenfalls f\u00fcr die Integration in Sicherheits\u00fcberwachungssysteme von entscheidender Bedeutung.<\/li>\n<\/ul>\n\n\n\nBedeutung f\u00fcr SIEM-Systeme<\/h3>\n\n\n\n
Fazit<\/h3>\n\n\n\n