Como proteger os logs do sudosh contra a exclusão?

0

Estou usando o sudosh para garantir, entre outras coisas, que os fornecedores que recebem acesso ssh ao meu servidor possam ser responsabilizados pelas operações que executam no servidor.

O sudosh está gravando os logs muito bem, mas salva os logs com permissões de gravação para o usuário que está sendo gravado.

Como posso impedir que esses logs sejam excluídos por esse usuário?

    
por GJ. 04.05.2012 / 18:54

2 respostas

0

Eu implementei algo melhor que sudosh.
O Linux oferece uma maneira de fazer isso, usando o sistema de “Auditoria”. Com essa parte do kernel e suas ferramentas de espaço do usuário, você pode registrar as chamadas do sistema chamadas (e outras coisas também). O mais importante a observar é a chamada do sistema “execve”. Tendo um registro de suas invocações, você saberá o que os usuários estão fazendo depois de "sudo some_shell". Veja aqui para mais detalhes.
Auditando as ações dos usuários após o sudo
Esta solução com Syslog funciona perfeitamente para o que você quer.

    
por 04.05.2012 / 22:01
0

Se você realmente tiver para dar acesso ssh a pessoas "externas", envie as linhas de registro assim que elas forem geradas para um servidor diferente que você não pode acessar (syslogd- * já está preparado para logging para um host remoto ).

Se for necessário um nível ainda mais alto de segurança / rastreabilidade - efetue login em uma impressora de linha . Eles tendem a "liberar" dados para o rastro de papel com cada retorno de carro. Deixe o cron escrever algumas linhas em determinados intervalos também (para que você possa ver / documentar sua segurança ainda está ativa e funcionando).

    
por 11.09.2018 / 21:42