Linux
授予供應商對伺服器的 root 訪問權限並記錄它?
我們的供應商之一需要通過遠端登錄到我們的一台伺服器來調試應用程序的問題。他們需要有 root 訪問權限,我計劃通過 ssh 和 sudo 提供。
我通常信任供應商,或者我不會考慮,但我想記錄他們的行為。
我嘗試安裝sudosh,但由於分段錯誤而無法執行。搜尋出現了一些技巧和技巧,但沒有嚴肅的選擇。
如何記錄使用者或 sudo 創建的所有 shell 輸入輸出?
sudo
做一些記錄。您還可以限制他們可以使用的命令。您可以使用screen
(加上它的多顯示模式)的日誌記錄功能。你甚至可以使用我的 Bash日誌功能。這些的組合將提供多層保險。最終,很難阻止具有 root 權限的使用者繞過這樣的東西,所以要小心。
script
將“製作終端會話的打字稿”似乎記錄了所有內容,這可能很方便,但如果您使用 VIM 或其他破壞 VT 的東西,它會稍微崩潰。
另一個想到的想法是為承包商提供“完全安全帳戶”的登錄詳細資訊(例如,沒有任何權限的帳戶)並讓他執行
screen -x
以附加到已經執行的 root shell(您已經設置並且正在密切關注)。- 承包商永遠不需要知道 root 密碼或有權訪問sudo
,您可以觀看(並使用記錄script
)他們所做的任何事情。