Назад | Перейти на главную страницу

централизованный сервер команды log bash или любой saas-пакет auditd

Я ищу способ отслеживать нашу работу sysmin на серверах. Допустим, sysmin 1 и sysmin 2 имеют доступ к любому серверу, но нам нужно убедиться и отслеживать все, что они делают на нашем сервере.

Что-то вроде:

server 1 ---- auditd or history>syslog---| 
server 2 ---- auditd or history>syslog------- somthing like log.ly or saas 
server 3 ---- auditd or history>syslog---|

Есть ли какой-нибудь SaaS, делающий что-то подобное? Как вы отслеживаете своих друзей или sysmin, которые работают, чтобы мы могли получить что-то вроде этого в центральном месте:

server 1, on 24-12-2013 12:42:32 user root command : ls
server 1, on 24-12-2013 12:42:32 user root command : cd /home
server 2, on 24-12-2013 12:42:32 user example command : ls

Мне известны такие сервисы, как papertrailapp, но у них есть только системный журнал, который не отслеживает команды пользователей bash.

Одно из решений - принудительный доступ к sudo для всех команд. Пользователи входят в систему как сами, а затем используют sudo для выполнения своих действий. Если вы настроите централизованный сервер системного журнала, вы сможете отслеживать все записи sudoers.

Конечно, колючие системные администраторы вроде меня войдут в систему как сами, а затем sudo -i предоставят оболочку без регистрации для всех последующих команд. Если вы хотите исключить такую ​​возможность, вам, вероятно, потребуется письменная политика, а не техническое решение. Может быть сложно заставить / получить бай-ин.