kenlukas's questions

Quando um usuário no Windows 10 tenta alternar funções na AWS, ele falha com

Falha na autenticação

Temos uma política Conditionem nossa sts:AssumeRolepolítica para permitir que a função seja alternada apenas se o usuário for proveniente de um endereço IP na lista de permissões. Esses endereços correspondem aos nossos IPs NAT. O usuário pesquisa no Google "qual é o meu IP" e retorna o IP NAT que esperamos ver.

O que é peculiar é que o endereço IP nos logs do CloudTrail não é nosso IP NAT. É propriedade da AWS.

Tentamos isso no Chrome e Firefox com o mesmo resultado. O que eu espero que aconteça é que o usuário troque de função sem problemas.

Esse problema não ocorre ao usar Windows7 ou MacOS.

Pensamentos?

Desejo habilitar cabeçalhos HTTP Strict Transport Security (HSTS) globalmente para todos os meus back-ends no HAProxy v1.5.

Seguindo as instruções de https://www.haproxy.com/blog/haproxy-and-http-strict-transport-security-hsts-header-in-http-redirects/ posso adicionar a seguinte linha a um arquivo de configuração de back-end e funciona como esperado.

http-response set-header Strict-Transport-Security max-age=16000000;\ 
includeSubDomains;\ preload;

Eu tenho uma dúzia de arquivos de back-end e provavelmente terei mais no futuro. Eu gostaria de definir isso em um só lugar.

Eu gostaria de algo semelhante a como está configurado globalmente no Apache httpd.conf:

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"

Estou usando o CentOS 7. tentando visualizar auditdos logsjournalctl

Quando tento journalctl -u auditd, vejo a seguinte saída:

-- Logs begin at Wed 2018-09-05 08:59:19 EDT, end at Wed 2018-09-19 15:01:01 EDT. --
Sep 05 12:59:25 centos7 systemd[1]: Starting Security Auditing Service...
Sep 05 12:59:25 centos7 auditd[563]: Started dispatcher: /sbin/audispd pid: 565
Sep 05 12:59:25 centos7 audispd[565]: No plugins found, exiting
Sep 05 12:59:25 centos7 auditd[563]: Init complete, auditd 2.8.1 listening for events (startup state enable)
Sep 05 12:59:25 centos7 augenrules[567]: /sbin/augenrules: No change
Sep 05 12:59:25 centos7 augenrules[567]: No rules
Sep 05 12:59:25 centos7 augenrules[567]: enabled 1
Sep 05 12:59:25 centos7 augenrules[567]: failure 1
Sep 05 12:59:25 centos7 augenrules[567]: pid 563
Sep 05 12:59:25 centos7 augenrules[567]: rate_limit 0
Sep 05 12:59:25 centos7 augenrules[567]: backlog_limit 8192
Sep 05 12:59:25 centos7 augenrules[567]: lost 0
Sep 05 12:59:25 centos7 augenrules[567]: backlog 1
Sep 05 12:59:25 centos7 augenrules[567]: enabled 1
Sep 05 12:59:25 centos7 augenrules[567]: failure 1
Sep 05 12:59:25 centos7 augenrules[567]: pid 563
Sep 05 12:59:25 centos7 augenrules[567]: rate_limit 0
Sep 05 12:59:25 centos7 augenrules[567]: backlog_limit 8192
Sep 05 12:59:25 centos7 augenrules[567]: lost 0
Sep 05 12:59:25 centos7 augenrules[567]: backlog 1
Sep 05 12:59:25 centos7 systemd[1]: Started Security Auditing Service.

e é aí que termina.

Se eu executar tail -3 /var/log/audit/audit.log, vejo a saída que espero:

type=CRED_REFR msg=audit(1537383661.096:4863): pid=13894 uid=0 auid=0 ses=567 msg='op=PAM:setcred grantors=pam_env,pam_faillock,pam_unix acct="root" exe="/usr/ sbin/crond" hostname=? endereço=? terminal=cron res=sucesso'

type=CRED_DISP msg=audit(1537383661.107:4864): pid=13894 uid=0 auid=0 ses=567 msg='op=PAM:setcred grantors=pam_env,pam_faillock,pam_unix acct="root" exe="/usr/ sbin/crond" hostname=? endereço=? terminal=cron res=sucesso'

type=USER_END msg=audit(1537383661.109:4865): pid=13894 uid=0 auid=0 ses=567 msg='op=PAM:session_close grantors=pam_loginuid,pam_keyinit,pam_limits,pam_systemd acct="root" exe="/ usr/sbin/crond" hostname=? endereço=? terminal=cron res=sucesso'

Eu olhei para as instruções de https://major.io/2017/01/05/display-auditd-messages-with-journalctl/

A execução deste comando a partir dessa página me deu essa saída e esperei (como esperado).

$ journalctl -af _TRANSPORT=audit
-- Logs begin at Wed 2018-09-05 08:59:19 EDT. --

Como configuro journalctlou auditdvejo a saída que vejo do audit.logarquivo em journalctl?