мониторинг действий рута

Настоящий рут сможет обойти любую защиту. Можно что-то подобное сделать посредством sudo (все его вызовы журналируются, но надо правильно ограничить список выполняемых команд, чтобы нельзя было запустить через него shell).

обойти то понятно, но смысл не в том чтобы кого-то ограничить, а смысл в том чтобы просто вести учет кто-что делал... Может есть какие-то наработки в этом вопросе?

rcs

почитал про rcs - непойму пока как его прикрутить под мои нужды...

ci, co при правке любого файла конфигурации с обязательным заполнением лога.

sudosh - то что тебе надо ;)

конечно, только если твои админы ходят в систему пользователями и получают рута только через sudo. Но и в этом случае админ может себе вернуть привычный bash... если догадается, что за шелл ему поставили...

У нас это работает.

http://www.linux.org.ru/view-message.jsp?msgid=1792791

Видно какие изменения произошли за сутки.

ci, co - этоже нужно как-то еще обязать сделать...

2bsh:

sudosh - просто бобма!

Там нет rcs, просто сравниваются текущие файлы/параметры с вчерашними.

2sdio:

а увидеть можно систему?

Вам лучше написать свое, в том виде как оно у меня сейчас, мне выкладывать стыдно.
Впрочем, если очень хочется вышлю на мыло. Мой адрес в профиле.

А нафига всем раздавать рута???

sudo + автоматические скрипты бэкапов на логофф

2Spinal:

как это? можно поподробнее? В смысле что-бы обычный юзер логинился не рутом а собой, а потом делал #sudo /bin/bash ?

Так?

> как это? можно поподробнее? В смысле что-бы обычный юзер логинился не рутом а собой, а потом делал #sudo /bin/bash ?

Это плохой способ, но можно и так.

А хороший способ - это прописать все команды которые нужно выполнять "этим рутам" в sudoers. Если им нужно редактировать какие-то файлы - выставить на эти файлы доступ на запись для определенной группы, скажем wheel и внести нужных пользователей в эту группу. В любом случае пароль root _должен_ знать только _один_ человек. В случае внезапной кончины этого человека, комп разбирается, вставляется livecd с кноппиксом и пароль рута меняется :)

Ты теоретик что-ли?
Все команды не пропишешь и тд. ... в общем первой командой будет получение рутового шела и дальнейшей работой в нем.

Если под словами "этим рутам" ты понимаешь эникейщиков, то это другой случай.

Не имеет значения квалификация "этих рутов". Просто здравый смысл мне подсказывает, что то что знают двое знает и свинья. Хотите убедиться в этом на своей шкуре - на здоровье.

Все команды не пропишешь и тд. - бред. Почти всё можно сделать под обычным юзером. Остальное нужно делать через sudo.

Ты безусловно во многом прав, но что-то зависит и от команды, тебе, видимо, не повезло.

>Хотите убедиться в этом на своей шкуре - на здоровье.

У меня команда равноправных админов из 4 человек и порядка 300 самых разных юниксов (aix, hp-ux, sunos, tru64, linux) и уже много лет все в порядке, работаем на серверах под рутом.

>Почти всё можно сделать под обычным юзером. Остальное нужно делать через sudo.

Кстати, скажи где мне не нужны права рута?
Логи доступны только руту, файлы конфигурации, работа с дискам и пр. оборудованием тоже.
Так что же это за мифические "Почти всё", которые можно сделать "под обычным юзером"?


//sdio