我正在寻找一种方法来跟踪我们在服务器上的sysmin工作。 可以说,sysmin 1和sysmin 2可以访问任何服务器,但我们需要确保和跟踪他们在我们的服务器中做的任何事情。
就像是:
server 1 ---- auditd or history>syslog---| server 2 ---- auditd or history>syslog------- somthing like log.ly or saas server 3 ---- auditd or history>syslog---| 有没有SaaS这样做? 你如何监视你的朋友或sysmin正在工作,所以我们可以在一个中央位置得到这样的东西:
server 1, on 24-12-2013 12:42:32 user root command : ls server 1, on 24-12-2013 12:42:32 user root command : cd /home server 2, on 24-12-2013 12:42:32 user example command : ls
我知道像papertrailapp服务,但他们只有syslog不跟踪用户的bash命令。
一个解决scheme是强制sudo访问所有命令。 用户以自己的身份login,然后使用sudo来完成他们的活动。 如果你设置了一个集中的系统日志服务器,你可以监视所有的sudoers条目。
当然,像我这样刺骨的系统pipe理员会以自己的身份login,然后sudo -i为所有后续命令提供一个未logging的shell。 如果你想消除这种可能性,你可能需要采取书面的政策而不是技术性的解决scheme。 可能会很难执行/获得买入。