Um de nossos fornecedores precisa depurar um problema com um aplicativo registrando-se remotamente em um de nossos servidores. Eles precisarão ter acesso root, que planejo fornecer via ssh e sudo.
Eu geralmente confio no fornecedor, ou não o considero, mas gostaria de ter alguns registros de suas ações.
Eu tentei instalar sudosh , mas não consegui executá-lo devido a falhas de segmentação. Uma pesquisa revelou alguns truques e dicas, mas não há opções sérias.
Como posso registrar toda a saída de entrada do shell criada por um usuário ou sudo?
sudo faz algum registro. Você também pode limitar quais comandos eles podem usar. Você pode usar o recurso de registro de screen (além de seu modo de exibição múltipla). Você pode até usar as minhas funções de log do Bash. Uma combinação destes fornecerá camadas de seguro.
Por fim, é difícil impedir que um usuário com privilégios de root contorne coisas como essa, por isso seja cauteloso.
script "fará o texto datilografado da sessão de terminal"
parece gravar tudo, o que pode ser útil, mas desmorona ligeiramente se você estiver usando o VIM ou outras coisas que manipulam o VT.
O outro pensamento que vem à mente, é dar detalhes de login ao contratante para uma 'conta completamente segura' (por exemplo, um sem nenhuma permissão) e tê-lo executando screen -x para anexar a um shell de raiz já em execução (que você configurei e estou de olho). -o contratante nunca precisa saber senhas de root ou ter acesso a sudo e você pode assistir (e gravar usando script ) qualquer coisa que eles façam.
Você não poderia compartilhar o acesso à sua área de trabalho através de algo como vnc ou uma alternativa e tê-los acessar o console através de sua máquina. Dessa forma você pode sentar e assistir e ver exatamente o que eles estão fazendo?