Я попытался зарегистрировать команды, выданные системными администраторами в нашей организации, и их вывод, используя sudo плюс директиву log_output, как показано ниже в файле visudo
Defaults env_reset
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
Defaults:%sudo log_output
...
root ALL=(ALL) ALL
...
%sudo ALL=(ALL) ALL
Это делает именно то, что от него требуется, но имеет большой недостаток.
Когда системные администраторы выполняют sudo su - обработчик файла sudo буферизует вывод команды до закрытия сеанса sudo, поэтому администратор может закрыть терминал, и вывод команд никогда не регистрируется.
Кроме того, мы пробовали auditd, но он не помогал тем, кто переключился на root.
Есть ли известный способ заставить sudo очистить файлы журнала? Пожалуйста, дайте мне знать, если это лучшее программное обеспечение для регистрации действий root, которые мы могли упустить.
Спасибо!
sudo 1.8.20 или выше имеет параметр iolog_flush, который можно включить.
Судош может быть лучшим решением. Он регистрирует сеансы по мере необходимости и дает вам возможности "VCR", позволяющие воспроизводить сеансы, он также доступен в большинстве репозиториев основных пакетов распространения.