LINUX.ORG.RU
ФорумAdmin

мониторинг действий рута


0

0

Подскажите как вести протоколирование действий рута? Есть несколько админов с правами рут, допустим они вносят изменения в текущие настройки фаервола (iptables) - как можно запротоколировать их действия, чтобы можно было понять кто-что делал?

anonymous

Настоящий рут сможет обойти любую защиту. Можно что-то подобное сделать посредством sudo (все его вызовы журналируются, но надо правильно ограничить список выполняемых команд, чтобы нельзя было запустить через него shell).

slav ★★
()
Ответ на: комментарий от slav

обойти то понятно, но смысл не в том чтобы кого-то ограничить, а смысл в том чтобы просто вести учет кто-что делал... Может есть какие-то наработки в этом вопросе?

anonymous
()
Ответ на: комментарий от anonymous

ci, co при правке любого файла конфигурации с обязательным заполнением лога.

anonymous
()
Ответ на: комментарий от bsh

конечно, только если твои админы ходят в систему пользователями и получают рута только через sudo. Но и в этом случае админ может себе вернуть привычный bash... если догадается, что за шелл ему поставили...

bsh ★★★
()
Ответ на: комментарий от anonymous

2bsh:

sudosh - просто бобма!

anonymous
()
Ответ на: комментарий от anonymous

Вам лучше написать свое, в том виде как оно у меня сейчас, мне выкладывать стыдно.
Впрочем, если очень хочется вышлю на мыло. Мой адрес в профиле.

sdio ★★★★★
()
Ответ на: комментарий от Spinal

2Spinal:

как это? можно поподробнее? В смысле что-бы обычный юзер логинился не рутом а собой, а потом делал #sudo /bin/bash ?

Так?

anonymous
()
Ответ на: комментарий от anonymous

> как это? можно поподробнее? В смысле что-бы обычный юзер логинился не рутом а собой, а потом делал #sudo /bin/bash ?

Это плохой способ, но можно и так.

А хороший способ - это прописать все команды которые нужно выполнять "этим рутам" в sudoers. Если им нужно редактировать какие-то файлы - выставить на эти файлы доступ на запись для определенной группы, скажем wheel и внести нужных пользователей в эту группу. В любом случае пароль root _должен_ знать только _один_ человек. В случае внезапной кончины этого человека, комп разбирается, вставляется livecd с кноппиксом и пароль рута меняется :)

Spinal
()
Ответ на: комментарий от Spinal

Ты теоретик что-ли?
Все команды не пропишешь и тд. ... в общем первой командой будет получение рутового шела и дальнейшей работой в нем.

Если под словами "этим рутам" ты понимаешь эникейщиков, то это другой случай.

anonymous
()
Ответ на: комментарий от anonymous

Не имеет значения квалификация "этих рутов". Просто здравый смысл мне подсказывает, что то что знают двое знает и свинья. Хотите убедиться в этом на своей шкуре - на здоровье.

Все команды не пропишешь и тд. - бред. Почти всё можно сделать под обычным юзером. Остальное нужно делать через sudo.

Spinal
()
Ответ на: комментарий от Spinal

Ты безусловно во многом прав, но что-то зависит и от команды, тебе, видимо, не повезло.

>Хотите убедиться в этом на своей шкуре - на здоровье.

У меня команда равноправных админов из 4 человек и порядка 300 самых разных юниксов (aix, hp-ux, sunos, tru64, linux) и уже много лет все в порядке, работаем на серверах под рутом.

>Почти всё можно сделать под обычным юзером. Остальное нужно делать через sudo.

Кстати, скажи где мне не нужны права рута?
Логи доступны только руту, файлы конфигурации, работа с дискам и пр. оборудованием тоже.
Так что же это за мифические "Почти всё", которые можно сделать "под обычным юзером"?


//sdio

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.