当我上任时,我们所有的SA都必须记住系统的root密码。我觉得这很麻烦(当有人离开公司时,我们必须触摸每台服务器并更改密码)并且不安全。
终于有了足够的吸引力来推动具有sudo
访问权限的个人帐户。我想要一个平稳的过渡,所以这是我的最初计划:
- 允许SA执行“批准的”命令而无需输入密码。
- 每次使用其他命令时,都需要输入密码
sudo
。如果有必要,我将审核此命令并将其定义为“已批准”,如果它们构成安全隐患,则将其阻止执行。
我们的用户规范如下所示:
%sysadmins ALL = PASSWD: ALL, NOPASSWD: SERVICES, FILE_READING, !/bin/su
问题:执行sudo
配置了的命令后,如何进行审核(最好通过电子邮件,但日志可以审核)PASSWD
?
您可能需要考虑集中式日志报告,并使用Logstash或Splunk之类的工具。使捕获这些事件更加容易,并集中了警报/审核方面。如果您要监视的端点数量越来越多,那就值得做。
—
jeffatrackaid 2011年