Como melhor acompanhar as aventuras de um administrador iniciante

Navegue suas respostas
8

Eu tenho esse usuário que tem privilégios de sudo limitados, mas ele consegue estragar de vez em quando. Eu gostaria de ficar de olho nas aventuras dele, para que eu possa reverter qualquer dano com menos escavação. Idealmente, eu gostaria que um serviço com a seguinte funcionalidade fosse bem integrado e apresentável

  • Rastreia a entrada e saída do shell como ttyrec (ou script ou sudo se o log estiver configurado) e pode reproduzir a sessão como ttyplay (ou scriptreplay ou sudoreplay ) Compatibilidade com programas ncurses bom, mas não necessário, ttyrec pode fazer isso aparentemente.
  • Rastreia o acesso, criação e modificação de arquivos. Idealmente, também poderia fazer backup de um arquivo toda vez que ele fosse alterado ou excluído.

Até o momento, encontrei várias ferramentas que precisaria configurar para obter a maior parte da funcionalidade solicitada, mas ainda não encontrei um produto de OSS que pudesse integrá-las bem (a edição da comunidade do Lynis não é muito clara a funcionalidade).

  • Eu poderia colocar ttyrec $(mktemp) , script $(mktemp) ou sudo -u $USER -i (com o sudo logging configurado) em seu .bashrc para registrar o IO do shell.
  • Configure a auditoria para rastrear o acesso a arquivos em alguns diretórios, como /usr , /etc , /var .
  • Crie um instantâneo LVM quando ele efetua login, mas isso é um pouco exagerado e pode prejudicar o desempenho do sistema.

EDITAR: ttyrec parece ser uma alternativa melhor para script , ela satisfaria todos os meus requisitos de log de E / S. Agora preciso encontrar uma boa maneira de manipular arquivos de log.

Ficarei grato por quaisquer sugestões ou recomendações de práticas recomendadas.

    
por Ondřej Grover 26.08.2015 / 08:36

1 resposta

2

Talvez você possa incentivar seu administrador a usar boas práticas de registro. A Tela do Gnu faz isso muito bem. Ele acrescenta um pouco mais de funcionalidade do que você está procurando, e também tem a capacidade de alternar o registro, para que ele possa desligá-lo, se ele desejar. Ele não tem a funcionalidade de reprodução, mas pode ser parte de uma solução, pois ele rastreia a maioria das entradas e saídas quando o registro está ativo.

No seu caso de uso, você desejaria adicionar deflog on ao arquivo screenrc para ter o novo padrão do Windows com o logon.

Isso tem a desvantagem de poder ser comutado pelo seu usuário.

Você pode realizar o monitoramento de arquivos usando Monit , que assiste às somas de verificação de alterações nos arquivos e também pode verificar as condições de vários serviços. Combine isso com algo como um rsync em um cronjob (desde que você deve ter algo assim de qualquer maneira) e você tem uma idéia bastante sólida de exatamente o que está acontecendo no servidor, especialmente se você ativar muito timestamps na tela e confiar em seu usuário não mexer com as configurações de log.

Combinando essas ferramentas, você deve ter um sistema bastante robusto e leve que lhe permita manter um olho decente no seu usuário enquanto garante um nível básico de salvaguarda.

    
por 02.11.2016 / 10:30

Tags

Como posso exibir comandos ssh executados de outra máquina? Linux Mint 18 com Salvar e Restaurar Sessão Cinnamon