Ich habe diesen Benutzer, der nur begrenzte Sudo-Berechtigungen hat, aber er schafft es von Zeit zu Zeit, Fehler zu machen. Ich möchte seine Abenteuer im Auge behalten, damit ich jeden Schaden mit weniger Graben rückgängig machen kann. Idealerweise möchte ich, dass ein Dienst mit den folgenden Funktionen gut integriert und präsentabel ist
- Verfolgt die Eingabe und Ausgabe der Shell wie
ttyrec
(oderscript
odersudo
wenn die Protokollierung eingerichtet ist) und kann die Sitzung wie ttyplay (oderscriptreplay
odersudoreplay
) wiedergeben. Die Kompatibilität mit ncurses-Programmen wäre nett, aber nicht notwendig,ttyrec
kann dies anscheinend tun. - Verfolgt den Dateizugriff, die Erstellung und Änderung. Im Idealfall kann eine Datei auch jedes Mal gesichert werden, wenn sie geändert oder gelöscht wird.
Bisher habe ich mehrere Tools gefunden, die ich einrichten müsste, um die meisten der angeforderten Funktionen zu erhalten, aber ich bin nicht auf ein OSS-Produkt gestoßen, das sie gut integriert (Lynis Community Edition ist sich der Funktionalität nicht wirklich klar). .
- Ich könnte in
ttyrec $(mktemp)
(script $(mktemp)
odersudo -u $USER -i
mit eingerichteter Sudo-Protokollierung).bashrc
die Shell- E / A protokollieren. - Einrichten der Überwachung Dateizugriff in einigen dirs zu verfolgen, wie
/usr
,/etc
,/var
. - Erstellen Sie einen LVM-Snapshot, wenn er sich anmeldet. Dies ist jedoch ein wenig übertrieben und kann die Systemleistung beeinträchtigen.
BEARBEITEN: ttyrec
scheint eine bessere Alternative zu sein script
, es würde alle meine E / A-Protokollierungsanforderungen erfüllen. Jetzt muss ich einen guten Weg finden, um die Dateimanipulation zu protokollieren.
Ich bin dankbar für Vorschläge oder Empfehlungen zu Best Practices.
script
Sitzung auszuführen . Es geht nicht darum, ihn auszuspionieren, sondern ihm die Gewissheit zu geben, dass seine Fehler zurückverfolgt werden können.Antworten:
Vielleicht können Sie Ihren Administrator dazu ermutigen , gute Protokollierungsmethoden anzuwenden. Gnu Screen macht das ganz gut. Es bietet einiges mehr Funktionalität, als Sie suchen, und bietet auch die Möglichkeit, die Protokollierung umzuschalten, sodass er sie auf Wunsch selbst ausschalten kann. Es fehlt die Wiedergabefunktion, aber es könnte Teil einer Lösung sein, da es die meisten Ein- und Ausgaben verfolgt, wenn die Protokollierung aktiviert ist.
In Ihrem Anwendungsfall möchten Sie
deflog on
der screenrc-Datei hinzufügen , um neue Windows-Standardeinstellungen für die Anmeldung zu erhalten.Dies hat jedoch den Nachteil, dass es von Ihrem Benutzer umgeschaltet werden kann.
Sie können die Dateiüberwachung mit Monit durchführen , das die Dateiprüfsummen auf Änderungen überwacht und auch die Bedingungen verschiedener Dienste überprüft. Kombinieren Sie dies mit so etwas wie einem Rsync auf einem Cronjob (da Sie sowieso so etwas haben sollten) und Sie haben eine ziemlich solide Vorstellung davon, was genau auf dem Server vor sich geht, insbesondere wenn Sie wirklich enge Zeitstempel auf dem Bildschirm aktivieren und Ihrem Benutzer vertrauen nicht mit den Protokollierungseinstellungen herumzuspielen.
Wenn Sie diese Tools kombinieren, sollten Sie über ein ziemlich robustes und leichtes System verfügen, mit dem Sie Ihren Benutzer im Auge behalten und gleichzeitig ein grundlegendes Maß an Rettungsfähigkeit sicherstellen können.
quelle