Назад | Перейти на главную страницу

Мы переходим от общего пароля root к использованию sudo. Как мне проверить использование sudo?

Когда я пришел к нам, все наши SA должны были запоминать пароль root к системам. Я чувствовал, что это было громоздко (когда кто-то отделялся от компании, нам приходилось касаться каждого сервера и менять пароль) и небезопасно.

Наконец-то набралось достаточно средств, чтобы протолкнуть личные аккаунты с sudo доступ. Я хочу иметь плавный переход, так что это мой первоначальный план:

  1. Разрешить SA выполнять «одобренные» команды без ввода паролей.
  2. Все остальные команды будут запрашивать пароль каждый раз, когда вы используете sudo. Я проведу аудит этой команды и определю их как «одобренные», если это будет сочтено необходимым, или запретить их выполнение, если они представляют угрозу безопасности.

Наша пользовательская спецификация выглядит так:

%sysadmins      ALL =  PASSWD: ALL, NOPASSWD: SERVICES, FILE_READING, !/bin/su

Вопрос: Как у меня sudo аудит (предпочтительно по электронной почте, но подойдут журналы), когда команда настроена с PASSWD выполняется?

Каждый раз, когда вызывается sudo, он записывает выполненную команду в системный журнал, поэтому я бы рекомендовал просто установить logwatch. По умолчанию он поставляется с фильтрами / агрегаторами для анализа записей sudo и может отправлять вам ежедневные отчеты по электронной почте.

Возможно, вам потребуется написать собственный фильтр logwatch, чтобы различать два разных набора команд.

Если вам нужно мгновенное уведомление о командах sudo, вы можете использовать модуль вывода почты с помощью rsyslog. Вам нужно будет применить фильтры, чтобы в этот модуль отправлялись только сообщения sudo, иначе вы проснетесь утром с 10 тысячами сообщений в вашем почтовом ящике.

Обычно все эти события регистрируются в "/var/log/auth.log"

Как сказал ErikA, sudo уже будет регистрировать все, что запущено. Вы также можете установить Splunk и (при использовании платной версии) получать уведомление, которое отправляет вам по электронной почте всякий раз, когда он видит сообщение sudo. Одно это, вероятно, не стоит лицензии, но если она у вас уже есть или вы думали об этом, об этом легко позаботиться.