我有此用户,但其sudo权限有限,但是他设法不时搞砸。我想密切注意他的冒险历程,以便我能以更少的挖掘力来弥补任何损失。理想情况下,我希望具有以下功能的服务可以很好地集成和呈现
- 曲目外壳输入和输出一样
ttyrec
(或者script
或者sudo
如果日志记录设置),并可以重放像ttyplay(或会话scriptreplay
或sudoreplay
)兼容性与ncurses的程序将是很好的,但不是必需的,ttyrec
显然可以做到这一点。 - 跟踪文件访问,创建和修改。理想情况下,每次更改或删除文件时,它也可以备份文件。
到目前为止,我已经找到了一些我必须设置的工具才能获得大多数所需的功能,但是我还没有遇到能够很好地集成它们的OSS产品(Lynis社区版在功能上还不清楚) 。
- 我可以把
ttyrec $(mktemp)
,script $(mktemp)
或sudo -u $USER -i
(使用sudo的日志记录设置)在其.bashrc
登录的外壳IO。 - 建立审计跟踪一些目录的文件访问,像
/usr
,/etc
,/var
。 - 他登录时创建LVM快照,但这有点过头了,并且可能会降低系统性能。
编辑: ttyrec
似乎是一个更好的选择script
,它将满足我所有的IO日志记录要求。现在,我需要找到一种记录文件操作的好方法。
如有任何建议或最佳做法的建议,我将不胜感激。
3
提示:在某些国家/地区,未经用户许可,这可能不合法。
—
赛勒斯
@Cyrus谢谢您的提醒,他会知道的。与其说要让他记住在
—
的Ondrej格罗弗
script
会话中始终运行所有内容,不如说是一种更具干扰性和自动化的方式。这不是在监视他,而是在向他保证可以追回他的错误。
我认为该用户不应具有sudo特权。
—
dr_
@ dr01理想情况下是的,我会为他做管理。但这并不总是可能的。他并不总是搞砸,我只需要建立一个安全网。
—
的Ondrej格罗弗