Контролируйте действие оболочки пользователя в Вашей системе Unix?
Можно использовать setgid, обдумал каталог для сохранения владений группы детьми.
chown :dev directory/
chmod g+s directory/
Не давайте им корень. Сделайте им отдельный отчет и поместите его в sudoers. Каждая команда, которую они запускают с sudo, будет помещена в журнал. Однако питание sudo все еще позволяет им очищать журнал и входить в систему как корень с sudo su -.
Решение состоит в том, чтобы иметь журнал, отдельный на другом сервере с чем-то как системный-журнал-ng. Они могут выключить его, но то, что они делали так будет зарегистрировано и должно быть большим большим красным флагом. Как будет su -. Я предполагаю, что можно заблокировать это в sudoers с небольшим количеством мысли.
Существует ли инструмент для того, чтобы мгновенно удаленно зарегистрировать команды, поскольку они выпущены?
Sudosh2 (http://sourceforge.net/projects/sudosh2/) сделает часть из того, что Вы хотите. Вот описание с их веб-сайта:
sudosh является фильтром оболочки аудита и может использоваться в качестве оболочки входа в систему. Sudosh записывает все нажатия клавиш и вывод и может воспроизвести сессию как точно так же, как VCR.
Пользователь выполняет команду как 'sudo sudosh2', и затем у них есть sudo.
sudosh2 является оболочкой sudo, которая запишет все нажатия клавиш и зарегистрирует все от сеанса пользователя (вход, произведет, ошибки, и т.д.). Можно воспроизвести сеанс пользователя. Это может быть довольно удобно.
sudosh2 поддерживает системный журнал, и Вы могли отправить этот вывод на удаленный сервер.
Это не может сделать всего, в чем Вы нуждаетесь, но это могло помочь. Некоторые люди также используют rootsh, но я не понимаю, как это выдерживает сравнение с sudosh.
В теории можно использовать прокси ssh (в системе, которой человек не управляет) зарегистрировать весь трафик между хостом и системой. Он ssh к системе, Вы регистрируете все данные там и передаете соединение с целевым сервером. Локальный демон входа повреждается, основной принцип не предоставления пользовательского административного доступа к системам ожидал ограничивать его.
На практике более или менее невозможно считать журнал команды и фигуру, если парень сделал что-то плохо или нет. Если Вы не можете доверять своим системным администраторам, Вы завинчены. Я не потрудился бы пробовать.
Я соглашаюсь с Matt. Если Вы не можете доверять им, у них не должно быть корня.
Для журнала аудита может использоваться rootsh. Можно только позволить им sudo к rootsh. Объединенный с этим и удаленным входом, было бы немного более трудно остановиться, чем просто sudo.
Для входа все, что кто-то вводит в Вашу консоль pam_tty_audit, что Ваш после. Я вполне уверен, что это регистрирует его вывод с помощью системного журнала, таким образом, Вы могли просто накачать тот журнал к другому серверу системного журнала.
NB, это регистрирует все, нажатия клавиш (вниз, ctrl, и т.д.) и также зарегистрирует пароли, когда они вводят в поля пароля.
Поскольку многие люди сказали. Если у кого-то есть корень, у них есть поле. доверие является королем здесь. Однако до некоторой степени можно получить поведение, которое Вы хотите с sudo. Журналы администратора в как обычный пользователь, затем позволяется выполнить различные команды путем выполнения sudo/path/to/command, Это является, вероятно, лучшим, Вы собираетесь добраться, не играя в большое количество игр.