Làm thế nào để theo dõi tốt nhất cuộc phiêu lưu của một quản trị viên mới làm quen

8

Tôi có người dùng này có các đặc quyền sudo hạn chế, nhưng thỉnh thoảng anh ta vẫn xoay sở. Tôi muốn theo dõi các cuộc phiêu lưu của anh ấy, để tôi có thể đảo ngược mọi thiệt hại với ít đào hơn. Lý tưởng nhất, tôi muốn một dịch vụ có chức năng sau được tích hợp tốt và có thể trình bày

  • Tracks shell đầu vào và đầu ra như ttyrec(hoặc scripthoặc sudonếu khai thác gỗ được thiết lập) và có thể phát lại phiên như ttyplay (hay scriptreplayhay sudoreplay) Khả năng tương thích với các chương trình ncurses sẽ được tốt đẹp, nhưng không cần thiết, ttyreccó thể làm điều đó rõ ràng.
  • Theo dõi truy cập tập tin, tạo và sửa đổi. Lý tưởng nhất, nó cũng có thể sao lưu một tập tin mỗi khi nó bị thay đổi hoặc bị xóa.

Cho đến nay tôi đã tìm thấy một số công cụ mà tôi sẽ phải thiết lập để có được hầu hết các chức năng được yêu cầu, nhưng tôi chưa bắt gặp một sản phẩm OSS nào tích hợp chúng một cách độc đáo (phiên bản cộng đồng Lynis không thực sự rõ ràng về chức năng) .

  • Tôi có thể đặt ttyrec $(mktemp), script $(mktemp)hoặc sudo -u $USER -i(với sudo log được thiết lập) trong anh ấy .bashrcđể đăng nhập IO shell.
  • Thiết lập kiểm toán để theo dõi truy cập tập tin trong một số dirs, như /usr, /etc, /var.
  • Tạo ảnh chụp nhanh LVM khi anh ấy đăng nhập, nhưng đó là một chút quá mức và có thể làm giảm hiệu suất hệ thống.

EDIT: ttyrec dường như là một thay thế tốt hơn script, nó sẽ đáp ứng tất cả các yêu cầu ghi nhật ký IO của tôi. Bây giờ tôi cần tìm một cách tốt để đăng nhập thao tác tập tin.

Tôi sẽ biết ơn bất kỳ đề xuất hoặc khuyến nghị thực hành tốt nhất.

linux  bash  debian  audit  typescript 
Ondřej Grover
nguồn
3
Gợi ý: Ở một số quốc gia, điều này có thể không hợp pháp nếu không có sự cho phép của người dùng.
Cyrus
2
@Cyrus cảm ơn bạn đã nhắc nhở, anh ấy sẽ biết về nó. Đó là nhiều hơn về việc tìm kiếm một cách ít xâm phạm và tự động hơn là yêu cầu anh ta nhớ luôn luôn chạy mọi thứ trong một scriptphiên. Đó không phải là về việc theo dõi anh ta, mà là cho anh ta đảm bảo rằng những sai lầm của anh ta có thể được theo dõi lại.
Ondřej Grover
3
Tôi nghĩ rằng người dùng này không nên có đặc quyền sudo.
dr_ 26/8/2015
1
@ dr01 lý tưởng là có, tôi sẽ làm quản trị cho anh ta. Nhưng điều đó không phải lúc nào cũng có thể. Anh ấy không phải lúc nào cũng làm hỏng, tôi chỉ cần thiết lập một mạng lưới an toàn.
Ondřej Grover
2
muru

Câu trả lời:

2

Có lẽ bạn có thể khuyến khích quản trị viên của bạn sử dụng thực hành đăng nhập tốt. Màn hình Gnu làm điều này khá độc đáo. Nó bổ sung thêm một chút chức năng so với bạn đang tìm kiếm và cũng có khả năng chuyển đổi đăng nhập, do đó anh ta có thể tự tắt nó nếu muốn. Nó thiếu chức năng phát lại, nhưng nó có thể là một phần của giải pháp, theo đó nó theo dõi hầu hết đầu vào và đầu ra khi đăng nhập.

Trong trường hợp sử dụng của bạn, bạn sẽ muốn thêm deflog onvào tệp screenrc để có các cửa sổ mới mặc định khi đăng nhập.

Điều này có nhược điểm là người dùng của bạn có thể bật được.

Bạn có thể thực hiện giám sát tệp bằng Monit , theo dõi tổng kiểm tra tệp để thay đổi và cũng có thể kiểm tra các điều kiện của các dịch vụ khác nhau. Kết hợp điều này với một cái gì đó giống như rsync trên cronjob (vì bạn nên có một cái gì đó giống như vậy) và bạn có một ý tưởng khá chắc chắn về chính xác những gì đang diễn ra trên máy chủ, đặc biệt là nếu bạn bật dấu thời gian thực sự chặt chẽ trên màn hình và tin tưởng người dùng của bạn không để fiddle với các cài đặt đăng nhập.

Bằng cách kết hợp các công cụ này, bạn sẽ có một hệ thống khá mạnh mẽ và nhẹ, cho phép bạn theo dõi sát sao người dùng của mình trong khi vẫn đảm bảo mức độ cơ bản có thể cứu vãn được.

James Biederbeck
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.