Linux'ta bir “kişiler” etkinliğini günlüğe kaydetme

Ben de bununla ilgili yazıların birçoğunu okudum ve eskisinden daha fazla karıştı. Ttyrec, snoopy, acct, rootsh, sudosh, ttyrpld, unix denetimi ve daha fazlası dahil olmak üzere çeşitli araçlar için öneriler vardır.

Benim durumumda, bir sistemde çalıştırılan tüm komutları (zaman damgaları etkinleştirilmiş geçmiş gibi) günlüğe kaydetmek istiyorum, ama aynı zamanda kimin ne yaptığını bilmek istiyorum? Ancak, hepimiz ssh ile aynı küçük kullanıcı hesabı alt kümesine (ne yaptığımıza bağlı olarak) giriş yapıyoruz. Belirli bir kişiye sadece genel bir "kullanıcı" için pozlanmış olarak eylemi izleyebilmem için "kim" in bana vereceği bilgileri içeren bir komut günlüğü nasıl alabilirim?

auditdPaket orijinal giriş için bir hesap arkasındaki etkinliğini izlemek (ve o kişi şuradan giriş nerede ardından belirlemek için giriş günlüğünü kontrol) hazırlayabilmek için her giriş bilgilerinizi bir oturum kimliği atamak için PAM kullanabilirsiniz bunun için tasarlanmıştır ve kullanımı edilir ausearchkomut. Eğer ilgilendiğiniz olayların bulmak için bayağı kapsamlı bir rehber okuyabilir burada ince ayrıntılarının bazılarını sizin dağılımını eşleşecek şekilde değiştirilmesi gerekecektir bile. Redhat, burada SSS ve diğer bazı belgelere sahip bir siteye sahiptir .

Bu, kabuklara yazılan komutları günlüğe kaydetmeye veya kullanıcıların komut geçmişini kaydetmeye dayanmadığından, vi açmak (X veya üzerinde yapılabilir screen), bir komut dosyası (belki de bir karakterde bir karakter) vi'nin kesme / yapıştırma komutları ve :.!/usr/games/fortunegünlüğe kaydedemeyebileceğiniz bazı kaynak verileri almak için birkaç işlem ) :%!/bin/bash.

Sorunuzda (ve bu yanıtlarda) tarih, snoopy, denetleme, sudo günlükleri vb.Gibi ipucu veren çeşitli araçlar zaten var ... ancak insanların kullandığı bir "hesap alt kümesi" varsa, sunucuda kimin ne yaptığını söylemenin bir yolu yok. Özellikle bunu kimin yaptığını anlamanın tek yolu, kullanıcıların özel olarak kullandıkları kendi bilgisayarlarına sahip olmaları ve bu klavyede fiziksel olarak ne yazdıklarını söylemek için keylogger'ları kullanmalarıdır.

Hesapları her paylaştığınızda, gerçekte neler olduğunu anlatamazsınız, çünkü kök hesabınızı veya bob hesabınızı kimin kullandığını veya çalışanlarınızın ne yaptığını daha fazla kanıtlamanız gerekir. Belirli bir olayda neler olduğunu araştırmaya çalışıyorsanız, erişim politikalarınızı ve prosedürlerinizi, kurtarma prosedürlerinizi gözden geçirmeniz ve çalışanlarınızı değerlendirmeniz ve / veya gerekirse yeniden eğitime (ya da hassas hesaplarla güvenilirliği) katılmanız gerekebilir. doğrudan kimin bir şey yaptığını araştırmaya odaklanmak, çünkü bunu yapan kişiyi bulmak için kazanmaktan daha fazla kaynak emebilir.

Aksi takdirde, olanları izlemek için adli araştırma tekniklerini incelemek isteyebilirsiniz (görüntüleme, günlük izleme vb.) Bir olayı araştırmıyorsanız, politikalarınızı incelemeye ve daha iyi izleme ve hesap doğrulaması oluşturmaya bakın (yalnızca root, sadece Bob hesabını sudo kullanarak daha yüksek ayrıcalıklara erişim sağlamak, denetim kurmak ve izlemek vb.) kullanır ve güvenilir çevrenizin mikroskop altında tutuluyormuş gibi hissetmemesine dikkat edin veya çalışan insanları yabancılaştırabilirsiniz. işlerini yapmak (veya işlerini yapmalarını engellemek).

Linux denetlemesi ( http://people.redhat.com/sgrubb/audit/ ) kimin ne yaptığını izlemede size en fazla gücü verecektir. DerfK'ın cevabında daha fazlası var.

Ancak, webadmin hesabına erişimi olan n kişi varsa, webadmin olarak giriş yapan hiçbir şey size söyleyemez. Her kullanıcı için adlandırılmış hesapları kullanmanızı ve daha sonra "function" hesabındaki komutları çalıştırmak için su - veya sudo kullanmanızı öneririm.