Programm zum Loggen von Tätigkeiten an Servern

Hallo Leute,

ich habe folgendes Problem:

Ein Kunde von uns wünscht das Arbeiten an Servern geloggt werden und VERBINDLICH festgehalten werden, dazu sollen die Logs NICHT Veränderbar sein. Ich habe einige Lösungsansätze probiert (Script beim Abmelden und Speicherung der Daten auf einem zentralen Server) würde aber am liebsten ein Tool/Programm dafür einsetzten die genau diese Prämisen erfüllt.

Es soll folgendes festgehalten werden: Wer hat wann auf dem System gearbeitet und was hat er gemacht.

Gerne kann das auch alles User basiert sein also: User gibt Namen, Zeit und Tätigkeiten an. Tool speichert die Daten UNVERÄNDERBAR auf einem zentralen Laufwerk. (Word Dateien oder ähnliches kommen dafür nicht in Frage)

Am besten startet sich das Tool beim abmelden, das keine 100% Sicherheit erreicht werden kann, weil man die Verbindung auch einfach trennen kann ist klar, allerdings wird das vom Kunden gewünscht.

Habt ihr da Ideen?

Du brauchst einen 2. PC. Dieser "PC" kann auch ein Raspberry Pi sein, wichtig ist nur, daß er woanders steht.
Dann benutzt du ein normales Linux Loggingprogramm, z.B. https://de.wikipedia.org/wiki/Rsyslog Dies erlaubt das logging zu einem entfernten Server, eben dem RPi. Wenn der RPi in einem abgeschlossenen Gehäuse ist, kann diese Daten niemand verändern. Da reicht schon eine Geldkassette (Mit Loch fürs LAN Kabel...)
Ansonsten schaffst du die Unveränderbarkeit nur mit einem WORM Medium (CD-R oder so).

Und was muss ich dabei auf meinem Windows Server tun und wie logge ich die Daten dann auf den PI?

Oh ja, eines der Traumthemen schlechthin! Kommt immer mal wieder auf, ist meistens sehr unsinnig und außerdem oft rechtlich grenzwertig, vorallem wenn man da eher naiv ran geht.

Aus Erfahrung geb ich dazu mal ein paar Hinweise:

1. Unveränderbarkeit der Logs:
Irgendwo hin muss man ja loggen und für dieses "irgendwo" gibt es einen verantwortlichen Admin oder einen sonstwie Verantwortlichen, der Zugriff darauf nehmen kann. Veränderung von Daten, löschen von Daten, verschwinden lassen von Medien und so weiter. So eine Forderung ist also nur bedingt sinnvoll, weil die technische Umsetzbarkeit nicht gegeben ist. Meistens wird sowas ja aus dem Problem heraus geboren, dass da irgendwer jemandem nicht traut. Am Ende ist es aber so, dass man ganz ohne Vertrauen nicht auskommt, wenn die Menge der beteiligten Personen groß genug ist. Ansonsten bleibt es nur dem Kunden überlassen es komplett selbst zu machen, sofern das überhaupt möglich ist und er den Sachverstand dafür besitzt.

2. Logging von angemeldeten Usern und deren Aktivitäten:
Je nach Umgebung, in der ihr euch damit bewegt (privater Server für Spaß/Hobby/xyz, betriebliches System für dienstliche Zwecke, usw.) macht man sich damit potenziell strafbar.
Ich sage explizit nicht, das sowas gar nicht möglich ist oder es grundsätzlich immer strafbar ist. Aus Erfahrung will ich lediglich darauf hinweisen, dass das ein heikles Thema sein kann und man im Einzelfall sehr genau prüfen muss was zulässig ist und was nicht. Ansonsten steht man schneller mit einem Bein im Knast als es einem lieb sein kann.

Admin bzw. Root ist sowas wie Gott auf jedem Rechner und mit ausreichendem KnowHow macht jeder Rechner das, was Admin/Root befiehlt. Eine Lösung die gegenüber Manipulation gegenüber diesen Nutzern mit allen Rechten sicher vor Manipulation ist gibt es nicht. Wenn entsprechend Misstrauen gegenüber dem Admin besteht müssen zwischenmenschliche Lösungen her.

Auf ein separates abgeschlossenes Gerät zu loggen dürfte der beste Ansatz sein. "Unveränderlichbarkeit" ist daraus aber noch nicht gegen. Die Veränderung wird nur schwieriger. Letztendlich ist nicht viel gewonnen.

Bei solchen Aufgabestellungen ist das Problem wichtig, das man versucht zu lösen:
- Traut man den Admins nicht? Hat man schlechte Erfahrungen oder ist es nur "Paranoia"?
- Will man damit eine Form von Dokumentation erzwingen?
- Will man den Einflussbereich einzelner Admins einschränken?
- Hat/vermutet man externe Anforderungen (Gesetze, Zertifizierungen etc.) dafür?

Für all das gibt es mit hoher wahrscheinlich bessere und einfacherer Lösungen, die man aber nur Implementieren kann, wenn man die Probleme kennt. Natürlich muss der Kunde dafür kooperativ sein (kein "Einfach machen! Wir wissen was wir tun."), aber die meisten sind letztendlich durchaus an einer grundlegenden Problemlösung interessiert.

Unveränderlichkeit kann über asymmetrische Verschlüsselung sichergestellt werden. Da kann zumindest nicht mehr gefälscht werden. Löschen geht natürlich trotzdem, solang Systemzugriff besteht.

Piktogramm schrieb:

Löschen geht natürlich trotzdem, solang Systemzugriff besteht.

Zum Vergrößern anklicken....

Eben. Was bringt mit ein fälschungssicheres Log wenn es weg ist?
(Technisch hast du natürlich völlig recht.)

Gelöschtes Log ist dann meist doch auffällig und speichern kann man auch extern. Das lässt sich zwar noch immer angreifen, plausible Erklärungen sind da aber schwer zu bringen, vor allem wenn der Vorfall mit anderen Ungereimtheiten zusammen auftritt.