LINUX.ORG.RU
ФорумAdmin

Запрет редактирования /var/log/secure для sudo пользователей

 ,


0

2

Добрый день! Есть пользователь, который входит в группу wheel и имеет право на выполнение любых команд через sudo. Нужно иногда посмотреть какую sudo-команду он вводил. Я так понимаю что это всё пишется в /var/log/secure (Centos). Но этот же sudo-пользователь может сам же этот файл и почистить от ненужных логов, когда сделает какую-то пакость. Можно как-то разрешить этому пользователю делать всё, но запретить редактирование /var/log/secure. Или эта задача как то по другому решается?



Последнее исправление: hudsucker (всего исправлений: 1)
Два сервака на Pfsense. Объединение в одну сеть
Извлечь базу данных с повреждённого сервера

Можно попросить syslog слать логи в реалтайме на другой сервер, где нет пользователя, который входит в группу wheel и чистит логи за собой

zgen ★★★★★
()

А если пользователь через sudo запустит bash, и команды будет вводить уже там, в лог попадает? А если python запустит и там будет резвиться, в лог попадёт?

Если хоть на один из двух вопросов ответ — нет, то и смысла в таком логировании нет.

i-rinat ★★★★★
()
Ответ на: комментарий от i-rinat

А если пользователь через sudo запустит bash

с баша:

- Там запрещено заливать запароленные архивы.

- А незапароленные архивы запароленных архивов?

anonymous
()

лог судошников можно вынести в отдельный файл

Defaults logfile=«/var/log/sudo.log»

причём через

Defaults log_input, log_output

можно логировать вообще всё.

Но вообще-то, если человеку не доверяешь, то нельзя давать sudo ALL. через Cmnd_Alias можно перечислять все допустимые команды и из них строить нужные «права» для конкретного чела/группы.

vtVitus ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Два сервака на Pfsense. Объединение в одну сеть
Admin
Извлечь базу данных с повреждённого сервера