我们正在从共享 root 密码过渡到使用 sudo。如何审核 sudo 的使用情况？

Question

当我加入时，我们所有的 SA 都必须记住系统的 root 密码。我觉得这很麻烦（当有人从公司离职时，我们必须接触每台服务器并更改密码）且不安全。

终于有足够的拉力来推送具有sudo访问权限的个人帐户。我想平稳过渡，所以这是我的初步计划：

1. 允许 SA 执行“已批准”的命令而无需输入密码。
2. 每次使用sudo. 如果认为有必要，我将审核此命令并将它们定义为“已批准”，或者如果它们构成安全风险，则阻止它们被执行。

我们的用户规范如下所示：

%sysadmins      ALL =  PASSWD: ALL, NOPASSWD: SERVICES, FILE_READING, !/bin/su

问题：sudo当执行配置PASSWD为的命令时，我如何进行审计（最好通过电子邮件，但日志可以）？

Answer 1

每次调用 sudo 时，它都会将执行的命令记录到 syslog，所以我建议只安装 logwatch。默认情况下，它带有用于解析 sudo 条目的过滤器/聚合器，并且可以通过电子邮件向您发送每日报告。

您可能需要编写自定义 logwatch 过滤器来区分两组不同的命令。

如果您需要 sudo 命令的即时通知，您可以使用带有 rsyslog的邮件输出模块。您将需要应用过滤器，以便仅将 sudo 消息发送到此模块，以免您早上醒来时收件箱中有 10k 条消息。