Audit
如何審核對我們的伺服器、路由器等所做的更改?
我們有很多伺服器(執行 Windows 和 Ubuntu)以及 Cisco 和 Juniper 路由器以及 HP Procurve 交換機的混合。我們有一些系統管理員喜歡在不告訴任何人或在任何地方記錄它的情況下對配置進行更改。你可以想像這會如何在你的臉上爆炸。
是否有任何軟體可以記錄和審核 Windows、Linux 和 Cisco 設備中的配置更改?或者如果沒有軟體,也許一些政策可以有效地阻止這種行為?
讓我迴避一些關於您的環境明顯缺乏控制的無端評論。我對這種情況表示歉意;嘗試統治那些牛仔:)
絕對看Rancid以滿足您的網路需求。您可以監控對配置的更改。額外的集成可以讓您在檢測到基於 Syslog 消息或 SNMP 陷阱通知的配置更改時自動進行備份。
對於 Linux,請考慮強制管理員通過日誌門戶訪問主機(例如 SSH 跳轉,在連接到目標主機之前會進行
ForceCommand
包裝)。Tripwirescript(1)
等古老的工具可以記錄對系統文件所做的不適當更改。對於 Windows,請查看ObserveIT的漂亮軟體,它可以對互動式會話進行基於主機的監控。
鑑於您似乎已經經歷了一些面子,我強烈建議您為此培養一種責任文化(“軟”控制/政策)。一些管理員的行為確實像牛仔,但肯定大多數人都理解無證。未宣布的更改會導致問題。建立工作視窗、生產停電、變更通知等。
這只是聰明的做法,他們和客戶都會欣賞的;管理員因為他們將能夠更容易地發現他們何時在腳上開槍,而客戶因為他們會更加了解正在發生的事情。