Когда я пришел к нам, все наши SA должны были запоминать пароль root к системам. Я чувствовал, что это было громоздко (когда кто-то отделялся от компании, нам приходилось касаться каждого сервера и менять пароль) и небезопасно.
Наконец-то набралось достаточно средств, чтобы протолкнуть личные аккаунты с sudo
доступ. Я хочу иметь плавный переход, так что это мой первоначальный план:
sudo
. Я проведу аудит этой команды и определю их как «одобренные», если это будет сочтено необходимым, или запретить их выполнение, если они представляют угрозу безопасности.Наша пользовательская спецификация выглядит так:
%sysadmins ALL = PASSWD: ALL, NOPASSWD: SERVICES, FILE_READING, !/bin/su
Вопрос: Как у меня sudo
аудит (предпочтительно по электронной почте, но подойдут журналы), когда команда настроена с PASSWD
выполняется?
Каждый раз, когда вызывается sudo, он записывает выполненную команду в системный журнал, поэтому я бы рекомендовал просто установить logwatch. По умолчанию он поставляется с фильтрами / агрегаторами для анализа записей sudo и может отправлять вам ежедневные отчеты по электронной почте.
Возможно, вам потребуется написать собственный фильтр logwatch, чтобы различать два разных набора команд.
Если вам нужно мгновенное уведомление о командах sudo, вы можете использовать модуль вывода почты с помощью rsyslog. Вам нужно будет применить фильтры, чтобы в этот модуль отправлялись только сообщения sudo, иначе вы проснетесь утром с 10 тысячами сообщений в вашем почтовом ящике.
Обычно все эти события регистрируются в "/var/log/auth.log"
Как сказал ErikA, sudo уже будет регистрировать все, что запущено. Вы также можете установить Splunk и (при использовании платной версии) получать уведомление, которое отправляет вам по электронной почте всякий раз, когда он видит сообщение sudo. Одно это, вероятно, не стоит лицензии, но если она у вас уже есть или вы думали об этом, об этом легко позаботиться.