Ond*_*ver 8 linux bash debian typescript audit
我有一个 sudo 权限有限的用户,但他有时会搞砸。我想关注他的冒险经历,这样我就可以用更少的挖掘来扭转任何伤害。理想情况下,我想要一个具有以下功能的服务,可以很好地集成和展示
ttyrec(或者script或者sudo如果日志记录设置),并可以重放像ttyplay(或会话scriptreplay或sudoreplay)兼容性与ncurses的程序将是很好的,但不是必需的,ttyrec显然可以做到这一点。到目前为止,我已经找到了几个工具,我必须设置这些工具才能获得大部分请求的功能,但是我还没有遇到可以很好地集成它们的 OSS 产品(Lynis 社区版在功能上并不是很清楚) .
ttyrec $(mktemp),script $(mktemp)或sudo -u $USER -i(设置 sudo 日志记录)放入他的中.bashrc以记录 shell IO。/usr, /etc, /var。编辑: ttyrec似乎是更好的替代品script,它将满足我所有的 IO 日志记录要求。现在我需要找到一种记录文件操作的好方法。
对于最佳实践的任何建议或建议,我将不胜感激。
小智 2
也许您可以鼓励您的管理员使用良好的日志记录实践。Gnu Screen在这方面做得非常好。它添加了比您想要的更多的功能,并且还能够切换日志记录,因此如果他愿意,他可以自己将其关闭。它缺乏重播功能,但它可能是解决方案的一部分,因为它在日志记录打开时跟踪大多数输入和输出。
在您的用例中,您需要添加deflog on到 screenrc 文件以使新的窗口默认登录。
然而,这有一个缺点,即可以由用户切换。
您可以使用Monit完成文件监控,它监视文件校验和的更改,还可以检查各种服务的状况。将其与 cronjob 上的 rsync 之类的东西结合起来(因为无论如何你都应该有类似的东西),并且你对服务器上到底发生了什么有一个相当扎实的了解,特别是如果你在屏幕上打开非常严格的时间戳并信任你的用户不要摆弄日志记录设置。
通过组合这些工具,您应该拥有一个相当强大且轻量级的系统,让您可以密切关注用户,同时确保基本水平的可挽救性。
| 归档时间: |
|
| 查看次数: |
240 次 |
| 最近记录: |