удаленное протоколирование всей действий пользователя root - Пингвинятник (ОС *NIX)

imhoman101 · 03.05.2006, 09:32

Всем привет !

Дал рута к серверу помощнику на работе, но есть подозрения, что он злоупотребляет полученными привилегиями. Поэтому возникла задача иметь информацию о том, кто откуда залогинился на сервер, и если он был рутом, знать все выполненные команды.

Проблема в том, что умные товарищи умеют стирать логи на компе, маскируя свои действия. Частично это преодолеваемо. Знаю, что syslogd к примеру может протоколировать события не локально, а на выделенный сервер (есть специальный компьютер для этого). Но syslogd сохраняет информацию только о том какой пользователь, с какого хоста и во сколько залогинился.

Но я подумал, что хорошо бы усложнить задачу. И сохранять информацию обо всех командах какие суперпользователь выполнял. Если это удаленная сессия, то хорошо бы каждую новую добавленную строку .bash_history протоколировать аналогично тому как протоколирует события syslog. А в идеале хорошо бы вести еще и логи запусков KDE,Gnome (то есть графических) приложений.

Все это я делаю потому что умные товарищи могут подчистить .bash_history, или вообще его обнулить предусмотрительно.

Итак, знатоки, какое ваше мнение ? Что посоветуете !

Спасибо заранее за помощь.

KomatoZo · 03.05.2006, 09:56

imhoman101
В настолько подробной инфе сам утонешь, имхо.
А есть вот еще один способ сохранить логи так, чтобы ни одна зараза не стерла, подсказанный Гуру: берешь принтер старый матричный, 1 шт. Цепляешь его к серверу своему. И syslog говоришь некоторые события (типа действий рута) кидать не в лог, а на принтер. Пусть потом подчищают =)
Утилей для протоколирования bash хистори не знаю, да и смысла особого нету. От рута, имхо, кроме удаленной машины с другим рутом или принтера не спастись =)

Saruman · 03.05.2006, 14:10

Цитата:

imhoman101:
Дал рута к серверу помощнику на работе, но есть подозрения, что он злоупотребляет полученными привилегиями. Поэтому возникла задача иметь информацию о том, кто откуда залогинился на сервер, и если он был рутом, знать все выполненные команды.

злоупотребляет привилегиями рута? 8) Это сильно 8)
На самом деле, проблема в том, что любые твои изменения он сможет отменить, т.к. он рут. Можно, конечно, bash_history перекинуть на удаленную машину и сделать его только для добавления, но что помешает руту это исправить?
Полагаю, проблема твоя в том, что ты ему дал эти полномочия. Если не доверяешь, лучше ограничиться тем же sudo и предоставить доступ только к необходимым для работы функциям.

ftpd · 03.05.2006, 22:29

посмотри в сторону
http://www.freebsd.org/doc/en_US.ISO...ccounting.html

03.05.2006, 09:32	# 1
imhoman101 Member Регистрация: 18.11.2005 Сообщения: 254	удаленное протоколирование всей действий пользователя root Всем привет ! Дал рута к серверу помощнику на работе, но есть подозрения, что он злоупотребляет полученными привилегиями. Поэтому возникла задача иметь информацию о том, кто откуда залогинился на сервер, и если он был рутом, знать все выполненные команды. Проблема в том, что умные товарищи умеют стирать логи на компе, маскируя свои действия. Частично это преодолеваемо. Знаю, что syslogd к примеру может протоколировать события не локально, а на выделенный сервер (есть специальный компьютер для этого). Но syslogd сохраняет информацию только о том какой пользователь, с какого хоста и во сколько залогинился. Но я подумал, что хорошо бы усложнить задачу. И сохранять информацию обо всех командах какие суперпользователь выполнял. Если это удаленная сессия, то хорошо бы каждую новую добавленную строку .bash_history протоколировать аналогично тому как протоколирует события syslog. А в идеале хорошо бы вести еще и логи запусков KDE,Gnome (то есть графических) приложений. Все это я делаю потому что умные товарищи могут подчистить .bash_history, или вообще его обнулить предусмотрительно. Итак, знатоки, какое ваше мнение ? Что посоветуете ! Спасибо заранее за помощь.

03.05.2006, 09:56	# 2
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	imhoman101 В настолько подробной инфе сам утонешь, имхо. А есть вот еще один способ сохранить логи так, чтобы ни одна зараза не стерла, подсказанный Гуру: берешь принтер старый матричный, 1 шт. Цепляешь его к серверу своему. И syslog говоришь некоторые события (типа действий рута) кидать не в лог, а на принтер. Пусть потом подчищают =) Утилей для протоколирования bash хистори не знаю, да и смысла особого нету. От рута, имхо, кроме удаленной машины с другим рутом или принтера не спастись =) __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

03.05.2006, 22:29	# 4
ftpd Junior Member Регистрация: 20.05.2002 Адрес: dp.ua Сообщения: 98	посмотри в сторону http://www.freebsd.org/doc/en_US.ISO...ccounting.html __________________ "Люди не хотят жить вечно. Люди просто не хотят умирать..." (c) Станислав Лем. -- Для тех, кто не в курсе - все спасибо в репутацию или ПС.