Linux 환경에서 수퍼 유저 활동을 추적하는 가장 좋은 방법이 무엇인지 알고 싶습니다.
특히, 나는이 기능을 찾고 있습니다 :
- A) 보안 syslog 서버에 키 입력 기록
- B) 쉘 세션을 재생하는 기능 (스크립트 재생과 같은 것)
- C) 이상적으로는 서버에 물리적으로 액세스하지 않고 피할 수없는 (또는 상당히 어려운) 것이 이상적입니다.
다른 시스템 관리자 (또는 타사)가 서버에서 권한있는 작업을 수행 할 수 있어야하는 환경에서 보안 / 감사 관점에서이 점을 고려하십시오.
모든 관리자는 자신의 명목 계정을 가지고 있으며 모든 대화식 세션은 필요할 때 재생할 수있는 상태로 완전히 기록되어야합니다 (예를 들어, 누군가 mc를 사용하여 중요한 파일을 삭제하거나 변경하는 경우에는 충분하지 않습니다) 해당 사용자가 mc 명령을 실행했음을 알고 mc를 시작한 후 수행 된 작업을 정확하게 볼 수있는 방법이 있어야합니다).
추가 사항 :
- womble이 지적했듯이 서버에서 변경을 수행하기 위해 루트 권한으로 로그인하지 않고 구성 관리 시스템을 통해 수행하는 것이 가장 좋은 방법 일 수 있습니다. 따라서 그러한 시스템이없는 상황을 가정하고 동일한 서버를 통해 다른 사람들에게 루트 수준의 액세스 권한을 부여해야합니다 .
- 나는 이것을 명백하게하는 일에 전혀 관심이 없다 : 루트 권한을 가진 서버에 로그인하는 모든 사람은 세션이 기록 될 것임을 충분히 알고있을 것이다 (예를 들어, 콜센터 운영자는 그들의 대화가 기록 중)
- 아무도 일반 수퍼 유저 계정 ( "루트")을 사용하지 않습니다.
- 나는 ttyrpld를 알고 있으며 내가 찾고있는 것을하는 것 같습니다. 그러나 그렇게하기 전에 수정되지 않은 커널을 사용 하여이 문제를 해결할 수 있는지 알고 싶습니다. 쉘이나 커널을 패치하지 않고 수퍼 유저 계정을 완전히 감사 할 수있는 데비안 용 도구 (또는 일반적으로 Linux)가 있는지 알고 싶습니다.