Я ищу способ отслеживать нашу работу sysmin на серверах. Допустим, sysmin 1 и sysmin 2 имеют доступ к любому серверу, но нам нужно убедиться и отслеживать все, что они делают на нашем сервере.
Что-то вроде:
server 1 ---- auditd or history>syslog---|
server 2 ---- auditd or history>syslog------- somthing like log.ly or saas
server 3 ---- auditd or history>syslog---|
Есть ли какой-нибудь SaaS, делающий что-то подобное? Как вы отслеживаете своих друзей или sysmin, которые работают, чтобы мы могли получить что-то вроде этого в центральном месте:
server 1, on 24-12-2013 12:42:32 user root command : ls
server 1, on 24-12-2013 12:42:32 user root command : cd /home
server 2, on 24-12-2013 12:42:32 user example command : ls
Мне известны такие сервисы, как papertrailapp, но у них есть только системный журнал, который не отслеживает команды пользователей bash.
Одно из решений - принудительный доступ к sudo для всех команд. Пользователи входят в систему как сами, а затем используют sudo для выполнения своих действий. Если вы настроите централизованный сервер системного журнала, вы сможете отслеживать все записи sudoers.
Конечно, колючие системные администраторы вроде меня войдут в систему как сами, а затем sudo -i предоставят оболочку без регистрации для всех последующих команд. Если вы хотите исключить такую возможность, вам, вероятно, потребуется письменная политика, а не техническое решение. Может быть сложно заставить / получить бай-ин.