初心者管理者の冒険を最もよく追跡する方法

8

sudo権限が制限されているこのユーザーがいますが、彼は時々台無しにしています。私は彼の冒険に目を光らせて、掘り下げることなくダメージを元に戻すことができるようにしたいと思います。理想的には、以下の機能が適切に統合され、表示できるサービスが欲しいです

  • トラックは次のように入力と出力のシェルttyrec(またはscriptまたはsudoロギングが設定されている場合)とttyplay(などのセッション再生できるscriptreplayかをsudoreplay)互換性のncursesプログラムに必要な素敵ではなくなり、ttyrec明らかにそれを行うことができます。
  • ファイルのアクセス、作成、変更を追跡します。理想的には、ファイルが変更または削除されるたびにバックアップすることもできます。

これまでのところ、要求された機能のほとんどを取得するためにセットアップしなければならないいくつかのツールを見つけましたが、それらをうまく統合するOSS製品に出会ったことはありません(Lynisコミュニティエディションでは機能が明確ではありません)。 。

  • シェルIOをログに記録するためにttyrec $(mktemp)script $(mktemp)またはsudo -u $USER -i(sudoロギングが設定されている場合は)彼.bashrcに置くことができます。
  • いくつかのdirsにあるファイルへのアクセスを追跡するために監査を設定、のような/usr/etc/var
  • ログイン時にLVMスナップショットを作成しますが、これは少しやり過ぎであり、システムのパフォーマンスを低下させる可能性があります。

編集: ttyrecのより良い代替手段のようですscript、それは私のすべてのIOロギング要件を満たします。次に、ファイル操作をログに記録するための適切な方法を見つける必要があります。

ベストプラクティスの提案や推奨に感謝します。

linux  bash  debian  audit  typescript 
オンジェイグローバー
ソース
3
ヒント:一部の国では、これはユーザーの許可なしに合法ではない場合があります。
Cyrus
2
@Cyrusはリマインダーをありがとう、彼はそれについて知っているでしょう。それは、scriptセッションで常にすべてを実行することを覚えておくように頼むよりも、煩わしさがなく、より自動的な方法を見つけることに関するものです。それは彼をスパイすることではなく、彼の過ちを追跡できることを彼に保証することです。
オンドレイ・グローバー
3
このユーザーにはsudo権限を付与しないでください。
dr_
1
@ dr01理想的にはそうです、彼のために管理を行います。しかし、それが常に可能であるとは限りません。彼はいつも失敗するわけではありません、私はセーフティーネットを設定する必要があるだけです。
オンドレイ・グローバー
2
muru、2015

回答:

2

おそらく、管理者に適切なロギング手法を使用するように促すことができます。Gnu Screenはこれをかなりうまく行います。それはあなたが探しているよりもかなり多くの機能を追加し、ロギングを切り替える機能も持っているので、必要に応じて自分でログをオフにすることができます。リプレイ機能はありませんが、ロギングがオンのときにほとんどの入出力を追跡するという点で、ソリューションの一部になる可能性があります。

ユースケースではdeflog on、screenrcファイルに追加して、ログオン時に新しいウィンドウをデフォルトに設定する必要があります。

ただし、これにはユーザーが切り替えられるという欠点があります。

ファイルのチェックサムの変更を監視し、さまざまなサービスの状態をチェックするMonitを使用して、ファイルの監視を実行できます。これをcronジョブのrsyncのようなものと組み合わせると(とにかくそのようなものが必要になるため)、特に画面で非常にタイトなタイムスタンプをオンにしてユーザーを信頼している場合は、サーバーで何が起こっているかをかなりしっかりと把握できます。ロギング設定をいじらないでください。

これらのツールを組み合わせると、基本レベルの残存性を確保しながら、ユーザーに適切な目を向けることができるかなり堅牢で軽量なシステムが必要です。

ジェームス・ビーダーベック
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.