Allow ssh for user other than loginuser

Sophos UTM is built on a hardened distro, specifically designed not to allow additional accounts shell access.

If you could figure ut a way to hack the system to allow this, it would also negate your support contract with Sophos.  Not permanently for a software change, but you would be required to re-image the system before you could get support.

For centralized monitoring of Sophos UTMs, you want to use SUM (Sophos UTM Manager), which is free.

I have no option but to use Tripwire Enterprise, the joys of Corporate mandates. They say jump you ask how high.

Does SUM have a way to output firewall changes to a parsable log file? I can monitor just about anything for changes, I just have to get the info into TWE.

Thought about it for a minutes and have a potential solution:

In WebAdmin, go to Logging & Reporting>>Log Settings>>Remote Log File Archives.  Have the raw logs archived to some share on your network that the TWE has access to.  You'll want to parse the configuration daemon (confd) logs.

It won't give you all existing rules, but you can parse for changes.  See the following log snippet generated by creating and enabling a new firewall rule:

2014:05:16-21:50:43 demo01 confd[28874]: I Role::authenticate:146() => id="3106" severity="info" sys="System" sub="confd" name="authentication successful" user="admin" srcip="70.194.96.5" sid="QPBAHmikEFzQVckYInSk" facility="webadmin" client="webadmin.plx" call="new"
2014:05:16-21:52:24 demo01 confd[4196]: I main::top-level:536() => id="310c" severity="info" sys="System" sub="confd" name="node changed" node="packetfilter->rules" value="['REF_PacPacCitriIcaFrom']" oldvalue="[]" user="admin" srcip="70.194.96.5" sid="QPBAHmikEFzQVckYInSk" facility="webadmin" client="webadmin.plx" pid="28874"
2014:05:16-21:52:24 demo01 confd[4196]: I main::top-level:652() => id="310a" severity="info" sys="System" sub="confd" name="object created" class="packetfilter" type="packetfilter" ref="REF_PacPacCitriIcaFrom" objname="Citrix ICA from Internal (Network) to RED DNS Forward Host" user="admin" srcip="70.194.96.5" sid="QPBAHmikEFzQVckYInSk" facility="webadmin" client="webadmin.plx" pid="28874"
2014:05:16-21:52:24 demo01 confd[4196]: I main::cleanup_changelog:964() => id="3100" severity="info" sys="System" sub="confd" name="trimmed version 9 from changelog"
2014:05:16-21:52:24 demo01 confd[4196]: I main::top-level:749() => id="310n" severity="info" sys="System" sub="confd" name="applied changes" user="admin" srcip="70.194.96.5" sid="QPBAHmikEFzQVckYInSk" facility="webadmin" client="webadmin.plx" pid="28874" version="11" storage="/cfg"
2014:05:16-21:52:29 demo01 confd[4196]: I main::top-level:652() => id="310a" severity="info" sys="System" sub="confd" name="object changed" class="packetfilter" type="packetfilter" ref="REF_PacPacCitriIcaFrom" objname="Citrix ICA from Internal (Network) to RED DNS Forward Host" user="admin" srcip="70.194.96.5" sid="QPBAHmikEFzQVckYInSk" facility="webadmin" client="webadmin.plx" pid="28874" attr_status="1" oldattr_status="0"
2014:05:16-21:52:29 demo01 confd[4196]: I main::top-level:749() => id="310n" severity="info" sys="System" sub="confd" name="applied changes" user="admin" srcip="70.194.96.5" sid="QPBAHmikEFzQVckYInSk" facility="webadmin" client="webadmin.plx" pid="28874" version="12" storage="/cfg"

For a report that'll have existing firewall rules, see Support>>Printable Configuration in WebAdmin.

Thanks! I think I can work with that.

Another option would be to cron the command on the UTM and have it SCP'd somewhere else.
See https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/20637 for a cron example

Barry

To repeat Scott's warning

If you could figure ut a way to hack the system to allow this, it would also negate your support contract with Sophos. Not permanently for a software change, but you would be required to re-image the system before you could get support.

Now let's void a warranty... using ssh keys.

Enable Shell Access and Allow public keys authentication if you haven't already.  You'll probably need to put a public key in for loginuser if you don't have one already.

Proceed no further if you want to keep your warranty/support.

As root create new user "newuser" and home directory:

# useradd newusername
# mkdir /home/newusername

Continuing as root, create ~newuser/.ssh and paste a public key in .ssh/authorized_keys:

# mkdir /home/newuser/.ssh
# cat - >> /home/newuser/.ssh/authorized_keys

 
(enter and Control-d to close the file

Continuing as root, change group and ownership:

# chown -R newuser /home/newuser
# chgrp -R users /home/newuser

Test your new warranty-voiding account.  I have no idea if it'll survive a reboot, update or upgrade.

Is there anything comparable to diffing two dumps from iptables (or snapshots) when it comes to two sets of log files, confd or other?  Does it lend itself to automation?

If there isn't then I'd want something like "iptables -L" (among other "deep" system internals) in addition to confd (and other) logs for configuration control and system state monitoring.

tripwire is basically diff'ing the output from:

sudo /usr/sbin/iptables-save |iptables-xml | sed -e 's/packet-count=".*" byte-count=".*"/***REMOVED***/' | egrep -v "Completed|Generated"

I dont remember if iptables-xml is native on the box or if I put it there. Had to remove the byte-count to get usable results.

I could easily use loginuser, but I wanted restrict the password-less sudo of iptables-save to a lesser known user.