当我加入时,我们所有的SA都必须记住系统的root密码.我觉得这很麻烦(当有人与公司分离时,我们不得不触摸每个服务器并更改密码)并且不安全.
终于有足够的拉力推动个人帐户与sudo访问.我希望顺利过渡,这是我最初的计划:
>允许SA在不输入密码的情况下执行“已批准”命令.
>每次使用sudo时,每个其他命令都需要密码.如果认为有必要,我将审核此命令并将其定义为“已批准”,或者如果它们构成安全风险,则阻止它们被执行.
我们的用户规范如下所示:
%sysadmins ALL = PASSWD: ALL,NOPASSWD: SERVICES,FILE_READING,!/bin/su
问题:当执行配置了PASSWD的命令时,如何进行sudo审核(最好通过电子邮件,但日志可以)?
解决方法
每次调用sudo时,它都会将执行的命令记录到syslog中,所以我建议只安装logwatch.默认情况下,它附带了用于解析sudo条目的过滤器/聚合器,它可以通过电子邮件向您发送每日报告.
您可能需要编写自定义日志监视器过滤器来区分两组不同的命令.
如果您需要sudo命令的即时通知,则可以将mail output module与rsyslog一起使用.您需要应用过滤器,以便只将sudo消息发送到此模块,以免您在早上醒来时收件箱中有10k条消息.
