Я бы хотел кое-что сделать. Я хотел бы иметь файл sudoers, который дает доступ ко всем командам, кроме «sudo su -», а также «sudo rm {something in var log}». Второй - чисто для того, чтобы кто-то не мог удалить то, что он делал. Таким образом, у меня есть история всех команд, которые администраторы запускают от имени root ..... с меткой времени было бы лучше, если возможно?
Затем мы запускаем наши серверы с пользователем по имени serveruser. Я бы предпочел, чтобы любые команды, которые кто-то хочет запускать от имени этого пользователя, также каждый раз выполнял что-то вроде sudo, и мы регистрировали каждую команду как пользователь, который фактически выполнил команду. Я НЕ хочу, чтобы кто-то выполнял «sudo su - serveruser», а затем выполнял команды, поскольку у меня нет доступа к тому, кто выполнял команды.
Как можно заблокировать сервер, чтобы я мог видеть всю эту информацию и иметь возможность отслеживания. Нам просто нужна возможность видеть, что делалось с системой, когда она выходит из строя, чтобы мы могли исправить ошибку и поговорить с человеком, который тоже делал эту работу.
спасибо, Дин
Я обнаружил, что есть некоторые приличные вещи, такие как rooth и другие, которые можно было бы написать коротким скриптом. Это не на 100% безопасно, но мне это не нужно ... если один из наших администраторов захочет уничтожить нашу систему, они в любом случае могут ... мы все просто хотим прослеживаемости, чтобы наши администраторы могли запустить "fakesudo.sh" пользователь ", который выполняет свою работу за нас.
Краткий ответ: ВЫ НЕ МОЖЕТЕ ЭТО ДЕЛАТЬ (любым возможным способом), используя ничего с помощью sudo Если вы уберете sudo su - функциональность, то вы должны указать, что они могут запускать индивидуально. И то, что я слышал через виноградную лозу, sudo не является пуленепробиваемым. Вы можете обмануть его и заставить делать то, что администраторы пытаются вам помешать.
Что вам нужно, так это система аудита, и она должна регистрироваться на удаленном хосте, который недоступен с правами root с вашего локального сервера. В противном случае вы отдаете ключи от королевства людям, которым вы (очевидно) не доверяете и надеетесь на лучшее.
Если это требование рабочего места, я настоятельно рекомендую потратить деньги и приобрести PowerBroker от Beyond Trust (ранее известного как Symark). Это недешево, но оно делает то, что вам нужно: предоставляет детализированные привилегии и регистрирует их.