共有rootパスワードからsudoを使用するように移行しています。sudoの使用を監査するにはどうすればよいですか？

私が参加したとき、すべてのSAはシステムのルートパスワードを記憶する必要がありました。これは面倒で（誰かが会社から離れると、すべてのサーバーにアクセスしてパスワードを変更する必要があり）、安全ではないと感じました。

最後に、sudoアクセス権を持つ個人アカウントをプッシュするのに十分なプルを取得しました。私はスムーズな移行をしたいので、これは私の最初の計画です：

1. SAがパスワードを入力せずに「承認された」コマンドを実行できるようにします。
2. 他のすべてのコマンドでは、を使用するたびにパスワードが必要になりますsudo。私はこのコマンドを監査し、必要と思われる場合は「承認済み」と定義し、セキュリティ上のリスクがある場合は実行されないようにします。

ユーザースペックは次のようになります。

%sysadmins      ALL =  PASSWD: ALL, NOPASSWD: SERVICES, FILE_READING, !/bin/su

質問：でsudo構成PASSWDされたコマンドが実行されたときに、どのようにして監査を行うことができますか（電子メールを使用することをお勧めしますが、ログを使用します）。

sudoが呼び出されるたびに、実行されたコマンドがsyslogに記録されるため、logwatchをインストールすることをお勧めします。デフォルトでは、sudoエントリを解析するためのフィルター/アグリゲーターが付属しており、毎日のレポートをメールで送信できます。

コマンドの2つの異なるセットを区別するために、カスタムlogwatchフィルターを作成する必要がある場合があります。

sudoコマンドの即時通知が必要な場合は、rsyslogでメール出力モジュールを使用できます。sudoメッセージのみがこのモジュールに送信されるようにフィルターを適用する必要があります。受信トレイに1万通のメッセージが届いて朝起きないようにしてください。

ErikAが言ったように、sudoは実行されたすべてのものをすでにログに記録します。Splunkをインストールし、（有料版を使用している場合）sudoメッセージが表示されるたびにメールで通知するアラートを設定することもできます。これだけではおそらくライセンスの価値はありませんが、すでにライセンスを取得している場合や、考えている場合は、簡単に対処できます。

通常、これらすべてのイベントは「/var/log/auth.log」に記録されます