需要一种技术来强制系统管理员记录访问产品服务器的原因

我公司要求，每当用户登录生产服务器时，都必须记录该人登录的原因以及用户打算进行的更改。我的团队想做到这一点，但它很容易忘记。我想帮助他们记住。我本来以为是个杂念，但想要更强大的东西。

我的第一个想法是将用户的shell更改为执行以下操作的脚本

vim /logs/logindate.txt 
bash -l

有更好或更标准的技术吗？

注意：想法是这些用户是sysadmin，并且希望在不破坏系统的情况下进行日志输入-他们只是经常忘记这样做。因此，如果他们可以ctrl-c，那么...我们假设他们不会。

看一下pam_exec.so。您可以在PAM的system-auth的会话界面中登录时运行脚本。该脚本在用户获得外壳程序之前以root用户身份运行，因此它可能无法使用read？捕获输入。但是，您可以尝试使用read并从用户那里获取原因，并使用一条logger语句将其记录到syslog中。（下面我省略了，但是您可以捕获CTRL + C来防止任何人无故退出。）$ PAM_USER将设置为登录的人，因此您可以在logger语句中包括它。

例：

在/etc/pam.d/system-auth中的会话顶部：

session required pam_exec.so /usr/local/sbin/getreason

和/ usr / local / sbin / getreason：

#!/bin/bash
read -p "Reason for logging into production: " reason
logger -t $(basename $0) "$PAM_USER logged in with reason: ${reason}"

抱歉，如果无法正常使用。我没有测试，但是最近做了类似的事情。（它没有捕获输入。）

编辑：我考虑得越多，由于它运行的阶段，我认为它不会起作用的越多。同样的getreason脚本应该工作，你替换后$PAM_USER用$(logname)，但它可能需要被执行/etc/profile。（首先测试交互式shell。）

我将保留这两个选项，因为如果没有其他选择，它至少应该使您思考正确的方向。

另一种方法是特权帐户管理解决方案，在该方法中，管理员帐户由第三方托管，而不是授予管理员使用自己的帐户的权限，并且必须遵循强制性程序，管理员才能访问生产系统http：// en。 m.wikipedia.org/wiki/Privileged_Identity_Management

实现此目的的另一种方法是拥有集中式日志记录功能（我在考虑Logstash，但您可以通过其他方式执行此操作）在生产系统上使用auth.log，并将其输入应用程序中，以便人们记录其理由。

我在运行HP Server Automation ^*的客户上看到的这种实现方式是，他们依靠该工具的固有日志记录并结合了多个批准步骤（我去过几个客户，这些客户没有sudo或root privs，但在Dev中）。

可以通过“补救和操作流程”或SA内部的管理登录等方式进行批准。

综上所述，在企业自动化和管理工具之外，@ Aaron Copley的答案是一个绝佳的选择。

^*我是高级HPSA，HPOO和HP自动化套件顾问的其他方面

在寻找解决方案时，我阅读了Aaron Copley的回答，并想：“如果我更换用户的外壳，该怎么办？”

我在Ubuntu 14.04机器上成功完成了此操作：

# usermod -s /usr/bin/loginScript username

在脚本上，您可以简单地捕获登录原因。我的是这样的：

#!/bin/bash
read -p "Tell me why you logged in:" reason
echo "You told me: $reason" >> /var/log/reasonLogin.log
/bin/bash

您应该注意的一件事：该脚本不是以root身份运行的，因此您可能必须授予用户一些权限才能执行此工作。