linux – 我们正在从共享root密码转换为使用sudo.我如何审核sudo的使用情况?

前端之家收集整理的这篇文章主要介绍了linux – 我们正在从共享root密码转换为使用sudo.我如何审核sudo的使用情况?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
当我加入时,我们所有的SA都必须记住系统的root密码.我觉得这很麻烦(当有人与公司分离时,我们不得不触摸每个服务器并更改密码)并且不安全.

终于有足够的拉力推动个人帐户与sudo访问.我希望顺利过渡,这是我最初的计划:

>允许SA在不输入密码的情况下执行“已批准”命令.
>每次使用sudo时,每个其他命令都需要密码.如果认为有必要,我将审核此命令并将其定义为“已批准”,或者如果它们构成安全风险,则阻止它们被执行.

我们的用户规范如下所示:

%sysadmins      ALL =  PASSWD: ALL,NOPASSWD: SERVICES,FILE_READING,!/bin/su

问题:当执行配置了PASSWD的命令时,如何进行sudo审核(最好通过电子邮件,但日志可以)?

解决方法

每次调用sudo时,它都会将执行的命令记录到syslog中,所以我建议只安装logwatch.默认情况下,它附带了用于解析sudo条目的过滤器/聚合器,它可以通过电子邮件向您发送每日报告.

您可能需要编写自定义日志监视器过滤器来区分两组不同的命令.

如果您需要sudo命令的即时通知,则可以将mail output module与rsyslog一起使用.您需要应用过滤器,以便只将sudo消息发送到此模块,以免您在早上醒来时收件箱中有10k条消息.

猜你在找的Linux相关文章