Tôi muốn biết các cách tiếp cận tốt nhất để theo dõi các hoạt động siêu người dùng trên môi trường Linux.
Cụ thể, tôi đang tìm kiếm các tính năng này:
- A) Ghi nhật ký tổ hợp phím vào máy chủ nhật ký hệ thống được bảo mật
- B) Khả năng phát lại các phiên shell (đại loại như kịch bản)
- C) Lý tưởng nhất, đây là điều không thể (hoặc khá khó khăn) để phá vỡ mà không có quyền truy cập vật lý vào máy chủ.
Hãy suy nghĩ về điều này từ góc độ bảo mật / kiểm toán, trong một môi trường nơi các hệ thống khác nhau (hoặc thậm chí là bên thứ ba) cần được phép thực hiện các hoạt động đặc quyền trên máy chủ.
Mỗi quản trị viên sẽ có tài khoản danh nghĩa của riêng mình và mọi phiên tương tác phải được ghi lại đầy đủ, với khả năng phát lại nếu cần thiết (ví dụ: nếu ai đó sử dụng mc để xóa hoặc thay đổi các tệp quan trọng, thì sẽ không đủ biết rằng người đó đã ban hành lệnh mc, phải có cách để xem chính xác những gì đã được thực hiện sau khi khởi chạy mc).
Ghi chú bổ sung :
- Như womble đã chỉ ra, có thể là lựa chọn tốt nhất sẽ không có người đăng nhập bằng quyền root để thực hiện các thay đổi trên máy chủ, mà thay vào đó thực hiện điều đó thông qua hệ thống quản lý cấu hình. Vì vậy, hãy giả sử một tình huống trong đó chúng ta không có một hệ thống như vậy và chúng ta cần cấp quyền truy cập cấp gốc cho những người khác nhau trên cùng một máy chủ .
- Tôi hoàn toàn không hứng thú với việc này một cách lén lút: mọi người đăng nhập vào máy chủ có quyền root sẽ nhận thức đầy đủ rằng phiên sẽ được ghi lại (ví dụ như, ví dụ, các nhà điều hành trung tâm cuộc gọi biết rằng các cuộc hội thoại của họ được ghi lại)
- Không ai sẽ sử dụng tài khoản superuser chung ("root")
- Tôi biết về ttyrpld và nó dường như làm những gì tôi đang tìm kiếm. Nhưng trước khi đi theo cách đó, tôi muốn biết liệu điều này có thể được giải quyết hay không bằng cách sử dụng kernel chưa sửa đổi. Tôi muốn biết liệu có bất kỳ công cụ nào cho Debian nói riêng (hay nói chung là Linux) cho phép kiểm tra toàn bộ tài khoản siêu người dùng mà không cần vá vỏ hoặc kernel.