공유 루트 비밀번호에서 sudo 사용으로 전환 중입니다. sudo 사용을 어떻게 감사합니까?

내가 탑승했을 때 모든 SA는 시스템에 대한 루트 암호를 기억해야했습니다. 나는 이것이 성가신 일이라고 생각했습니다 (누군가 회사와 분리 될 때 모든 서버를 터치하고 암호를 변경해야 함).

마침내 개인 계정에 sudo접근 할 수있는 충분한 기회를 얻었습니다 . 원활한 전환을 원하므로 이것이 나의 초기 계획입니다.

1. SA가 암호를 입력하지 않고 "승인 된"명령을 수행하도록 허용합니다.
2. 다른 모든 명령은 사용할 때마다 암호가 필요합니다 sudo. 이 명령을 감사하고 필요한 경우 "승인 됨"으로 정의하거나 보안 위험이있는 경우 실행되지 못하게합니다.

우리의 사용자 사양은 다음과 같습니다.

%sysadmins      ALL =  PASSWD: ALL, NOPASSWD: SERVICES, FILE_READING, !/bin/su

질문 : 내가 가지고 어떻게 sudo구성 명령이 때 (바람직 통해 전자 메일을하지만 로그 할 것이다) 감사를 PASSWD실행?

sudo가 호출 될 때마다 실행 된 명령을 syslog에 기록하므로 logwatch를 설치하는 것이 좋습니다. 기본적으로 sudo 항목을 구문 분석하기위한 필터 / 어 그리 게이터가 제공되며 매일 보고서를 이메일로 보낼 수 있습니다.

두 가지 다른 명령 세트를 구별하기 위해 사용자 정의 로그 감시 필터를 작성해야 할 수도 있습니다.

sudo 명령에 대한 즉각적인 알림이 필요한 경우 rsyslog와 함께 메일 출력 모듈 을 사용할 수 있습니다 . 받은 편지함에 10k 개의 메시지가 표시되도록 아침에 sudo 메시지 만이 모듈로 전송되도록 필터를 적용해야합니다.

ErikA가 말했듯이 sudo는 이미 실행중인 모든 것을 기록합니다. Splunk를 설치할 수도 있고 (유료 버전을 사용하는 경우) sudo 메시지가 표시 될 때마다 이메일로 알려주는 경고가 있습니다. 이것만으로도 라이센스 가치가 없지만, 이미 라이센스가 있거나 그것에 대해 생각하고 있다면 쉽게 처리 할 수 ​​있습니다.

일반적으로 이러한 모든 이벤트는 "/var/log/auth.log"에 로그인됩니다.