Tengo este usuario que tiene privilegios de sudo limitados, pero se las arregla para arruinarlo de vez en cuando. Me gustaría vigilar sus aventuras, para poder revertir cualquier daño con menos excavación. Idealmente, me gustaría un servicio con la siguiente funcionalidad bien integrada y presentable
- Pistas de concha de entrada y salida como
ttyrec
(oscript
, osudo
si el registro está configurado) y puede reproducir la sesión como ttyplay (oscriptreplay
osudoreplay
) La compatibilidad con programas ncurses estaría bien, pero no es necesario,ttyrec
puede hacerlo parecer. - Rastrea el acceso, creación y modificación de archivos. Idealmente, también podría hacer una copia de seguridad de un archivo cada vez que se cambia o se elimina.
Hasta ahora, he encontrado varias herramientas que tendría que configurar para obtener la mayor parte de la funcionalidad solicitada, pero no he encontrado un producto OSS que las integrara bien (la edición comunitaria de Lynis no tiene muy clara la funcionalidad) .
- Podría poner
ttyrec $(mktemp)
,script $(mktemp)
osudo -u $USER -i
(con el registro de sudo configurado) en el suyo.bashrc
para registrar el shell IO. - Configurar la auditoría para rastrear el acceso a archivos en algunos directorios, como
/usr
,/etc
,/var
. - Cree una instantánea LVM cuando inicie sesión, pero eso es un poco exagerado y podría degradar el rendimiento del sistema.
EDITAR: ttyrec
parece ser una mejor alternativa para script
satisfacer todos mis requisitos de registro de IO. Ahora necesito encontrar una buena manera de registrar la manipulación de archivos.
Estaré agradecido por cualquier sugerencia o recomendación de mejores prácticas.
script
sesión. No se trata de espiarlo, sino de darle la seguridad de que sus errores pueden ser rastreados.Respuestas:
Tal vez podría alentar a su administrador a usar buenas prácticas de registro. Gnu Screen hace esto bastante bien. Agrega bastante más funcionalidad de la que está buscando, y también tiene la capacidad de alternar el registro, por lo que podría desactivarlo él mismo, si lo desea. Carece de la funcionalidad de reproducción, pero podría ser parte de una solución, ya que rastrea la mayoría de las entradas y salidas cuando el inicio de sesión está activado.
En su caso de uso, desearía agregar
deflog on
al archivo screenrc para tener nuevas ventanas predeterminadas al iniciar sesión.Sin embargo, esto tiene la desventaja de que su usuario puede alternarlo.
Puede realizar el monitoreo de archivos usando Monit , que vigila las sumas de verificación de archivos para detectar cambios, y también puede verificar las condiciones de varios servicios. Combine esto con algo como un rsync en un cronjob (ya que debería tener algo así de todos modos) y tiene una idea bastante sólida de lo que está sucediendo exactamente en el servidor, especialmente si enciende marcas de tiempo muy apretadas en la pantalla y confía en su usuario no jugar con la configuración de registro.
Al combinar estas herramientas, debe tener un sistema bastante robusto y liviano que le permita mantener un ojo decente en su usuario al tiempo que garantiza un nivel básico de salvabilidad.
fuente