我们正在从共享的root密码过渡到使用sudo。如何审核sudo的使用情况？

当我上任时，我们所有的SA都必须记住系统的root密码。我觉得这很麻烦（当有人离开公司时，我们必须触摸每台服务器并更改密码）并且不安全。

终于有了足够的吸引力来推动具有sudo访问权限的个人帐户。我想要一个平稳的过渡，所以这是我的最初计划：

1. 允许SA执行“批准的”命令而无需输入密码。
2. 每次使用其他命令时，都需要输入密码sudo。如果有必要，我将审核此命令并将其定义为“已批准”，如果它们构成安全隐患，则将其阻止执行。

我们的用户规范如下所示：

%sysadmins      ALL =  PASSWD: ALL, NOPASSWD: SERVICES, FILE_READING, !/bin/su

问题：执行sudo配置了的命令后，如何进行审核（最好通过电子邮件，但日志可以审核）PASSWD？

每次调用sudo时，它会将执行的命令记录到syslog中，因此建议您仅安装logwatch。默认情况下，它带有用于解析sudo条目的过滤器/聚合器，并且可以通过电子邮件向您发送每日报告。

您可能需要编写一个自定义logwatch过滤器以区分两组不同的命令。

如果您需要即时通知sudo命令，则可以将邮件输出模块与rsyslog一起使用。您将需要应用过滤器，以便仅将sudo消息发送到此模块，以免您早上醒来时收件箱中有1万条消息。

就像ErikA所说的那样，sudo已经记录了运行的所有内容。您还可以安装Splunk，并且（如果使用付费版本的话）有一个警报，在看到sudo消息时会通过电子邮件发送给您。仅凭此一项可能就不值得获得许可，但是如果您已经拥有或正在考虑，则可以轻松解决。

通常，所有这些事件都记录到“ /var/log/auth.log”中