<div dir="ltr"><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;color:#666666">I find it interesting that the auditors don't know all of this stuff or have their own experts to tell you what they need.  </div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Apr 17, 2020 at 4:24 PM John Stoffel <<a href="mailto:john@stoffel.org">john@stoffel.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">>>>>> "John" == John Malloy <<a href="mailto:jomalloy@gmail.com" target="_blank">jomalloy@gmail.com</a>> writes:<br>
<br>
John> They just want to know who can login as route or sudo<br>
<br>
And so do you!  :-)<br>
<br>
John> These are both Oracle servers and they only have a route and Oracle account<br>
<br>
That you know of.  Auditing, while painful and not fun unless it's<br>
automated, is the solution here.  <br>
<br>
John> There’s no additional users in the Sudo file<br>
<br>
It's not that easy, since you also need to look in /etc/sudoers.d/ and<br>
also need to parse out group membership and check the sudoers* files<br>
for group entries.  It's *not* trivial.<br>
<br>
But again, it's the auditing part that the auditors will be concerned<br>
about.  How to do validate your results?  How do you know that us<br>
powerful sysadmins aren't hacking the reports and ignoring certain<br>
accounts in the reports so that we can hide stuff?  How do you know<br>
someone *else* hasn't hidden a SUID script or program somewhere else<br>
on the system?<br>
<br>
It's a damn rathole honestly, and there's a cost vs benefit call you<br>
need to make.  Or more accurately, management needs to make.  100%<br>
security is when the server is off, unplugged from everything and<br>
buried in a hole.  In concrete.  :-)<br>
<br>
Be thankful you're not having to go through PCI compliance audits for<br>
handling credit cards, I've heard they're even worse!<br>
<br>
John<br>
<br>
John> On Fri, Apr 17, 2020 at 1:39 PM Dan Ritter <<a href="mailto:dsr@randomstring.org" target="_blank">dsr@randomstring.org</a>> wrote:<br>
<br>
John>     John Malloy wrote:<br>
>> What is the best way to provide proof to an audit person who needs to know<br>
>> all the root/sudo users for  a RHEL 6 server?<br>
>> <br>
>> (I am new at this company, and don't have access to all their resources)<br>
>> <br>
>> We can provide the /etc/passwd   &   /etc/sudoers file   (the auditor may<br>
>> not know how to read these files)<br>
>> <br>
>> We also have the RedHat  Identity Management  running here, but I am not<br>
>> familiar with this tool.<br>
<br>
John>     What question did they ask? It's important.<br>
<br>
John>     -dsr-<br>
<br>
John> --<br>
<br>
John> John Malloy<br>
<br>
John> _______________________________________________<br>
John> bblisa mailing list<br>
John> <a href="mailto:bblisa@bblisa.org" target="_blank">bblisa@bblisa.org</a><br>
John> <a href="http://www.bblisa.org/mailman/listinfo/bblisa" rel="noreferrer" target="_blank">http://www.bblisa.org/mailman/listinfo/bblisa</a><br>
<br>
_______________________________________________<br>
bblisa mailing list<br>
<a href="mailto:bblisa@bblisa.org" target="_blank">bblisa@bblisa.org</a><br>
<a href="http://www.bblisa.org/mailman/listinfo/bblisa" rel="noreferrer" target="_blank">http://www.bblisa.org/mailman/listinfo/bblisa</a></blockquote></div>