У меня есть этот пользователь, который имеет ограниченные привилегии sudo, но ему удается время от времени облажаться. Я хотел бы следить за его приключениями, чтобы я мог отменить любой урон с меньшим количеством копания. В идеале я хотел бы, чтобы сервис со следующей функциональностью был хорошо интегрирован и представлен
- Дорожки оболочки ввода и вывода , как
ttyrec
(или ,script
или ,sudo
если регистрация установлена) и может повторить сеанс , как ttyplay (илиscriptreplay
илиsudoreplay
) Совместимость с программами Ncurses было бы хорошо, но не обязательно,ttyrec
может сделать это , по- видимому. - Отслеживает доступ к файлам, создание и изменение. В идеале это может также сделать резервную копию файла каждый раз, когда он изменяется или удаляется.
До сих пор я нашел несколько инструментов, которые мне нужно было бы настроить, чтобы получить большую часть запрашиваемой функциональности, но я не сталкивался с продуктом OSS, который бы хорошо их интегрировал (выпуск сообщества Lynis не совсем ясно о функциональности) ,
- Я мог бы поставить
ttyrec $(mktemp)
,script $(mktemp)
илиsudo -u $USER -i
(с Судо каротаж настройки) в его.bashrc
регистрировать оболочки IO. - Настройка аудита для отслеживания доступа к файлам в некоторых директориях, как
/usr
,/etc
,/var
. - Создайте снимок LVM при входе в систему, но это немного излишне и может снизить производительность системы.
РЕДАКТИРОВАТЬ: ttyrec
кажется, лучшая альтернатива script
, он будет отвечать всем моим требованиям к журналу ввода-вывода. Теперь мне нужно найти хороший способ регистрации файлов манипуляций.
Буду благодарен за любые предложения или рекомендации из лучших практик.
script
сеансе. Речь идет не о том, чтобы шпионить за ним, а о том, чтобы дать ему уверенность в том, что его ошибки можно отследить.Ответы:
Возможно, вы могли бы побудить вашего администратора использовать хорошие методы ведения журнала. Gnu Screen делает это довольно хорошо. Он добавляет немного больше функциональности, чем вы ищете, а также имеет возможность переключать протоколирование, поэтому он может отключить его сам, если пожелает. Ему не хватает функциональности воспроизведения, но это может быть частью решения, так как он отслеживает большую часть ввода и вывода при включенной регистрации.
В вашем случае вы хотели бы добавить
deflog on
в файл screenrc новые окна по умолчанию с входом в систему.Это имеет тот недостаток, что пользователь может переключать его.
Вы можете осуществлять мониторинг файлов с помощью Monit , который отслеживает контрольные суммы файлов на предмет изменений, а также может проверять состояние различных служб. Объедините это с чем-то вроде rsync для cronjob (поскольку у вас должно быть что-то подобное в любом случае), и у вас будет достаточно четкое представление о том, что именно происходит на сервере, особенно если вы включаете действительно жесткие временные метки на экране и доверяете своему пользователю не возиться с настройками регистрации.
Комбинируя эти инструменты, вы получите достаточно надежную и легкую систему, которая позволит вам пристально следить за вашим пользователем, обеспечивая при этом базовый уровень утилизации.
источник