IMHO.WS

IMHO.WS (http://www.imho.ws/index.php)
-   Пингвинятник (ОС *NIX) (http://www.imho.ws/forumdisplay.php?f=76)
-   -   удаленное протоколирование всей действий пользователя root (http://www.imho.ws/showthread.php?t=103211)

imhoman101 03.05.2006 09:32
удаленное протоколирование всей действий пользователя root
 
Всем привет !

Дал рута к серверу помощнику на работе, но есть подозрения, что он злоупотребляет полученными привилегиями. Поэтому возникла задача иметь информацию о том, кто откуда залогинился на сервер, и если он был рутом, знать все выполненные команды.


Проблема в том, что умные товарищи умеют стирать логи на компе, маскируя свои действия. Частично это преодолеваемо. Знаю, что syslogd к примеру может протоколировать события не локально, а на выделенный сервер (есть специальный компьютер для этого). Но syslogd сохраняет информацию только о том какой пользователь, с какого хоста и во сколько залогинился.

Но я подумал, что хорошо бы усложнить задачу. И сохранять информацию обо всех командах какие суперпользователь выполнял. Если это удаленная сессия, то хорошо бы каждую новую добавленную строку .bash_history протоколировать аналогично тому как протоколирует события syslog. А в идеале хорошо бы вести еще и логи запусков KDE,Gnome (то есть графических) приложений.

Все это я делаю потому что умные товарищи могут подчистить .bash_history, или вообще его обнулить предусмотрительно.

Итак, знатоки, какое ваше мнение ? Что посоветуете !

Спасибо заранее за помощь.

KomatoZo 03.05.2006 09:56
imhoman101
В настолько подробной инфе сам утонешь, имхо.
А есть вот еще один способ сохранить логи так, чтобы ни одна зараза не стерла, подсказанный Гуру: берешь принтер старый матричный, 1 шт. Цепляешь его к серверу своему. И syslog говоришь некоторые события (типа действий рута) кидать не в лог, а на принтер. Пусть потом подчищают =)
Утилей для протоколирования bash хистори не знаю, да и смысла особого нету. От рута, имхо, кроме удаленной машины с другим рутом или принтера не спастись =)

Saruman 03.05.2006 14:10
Цитата:
imhoman101:
Дал рута к серверу помощнику на работе, но есть подозрения, что он злоупотребляет полученными привилегиями. Поэтому возникла задача иметь информацию о том, кто откуда залогинился на сервер, и если он был рутом, знать все выполненные команды.
злоупотребляет привилегиями рута? 8) Это сильно 8)
На самом деле, проблема в том, что любые твои изменения он сможет отменить, т.к. он рут. Можно, конечно, bash_history перекинуть на удаленную машину и сделать его только для добавления, но что помешает руту это исправить?
Полагаю, проблема твоя в том, что ты ему дал эти полномочия. Если не доверяешь, лучше ограничиться тем же sudo и предоставить доступ только к необходимым для работы функциям.

ftpd 03.05.2006 22:29
посмотри в сторону
http://www.freebsd.org/doc/en_US.ISO...ccounting.html


Часовой пояс GMT +4, время: 01:33.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.