Saya ingin tahu apa pendekatan terbaik untuk melacak aktivitas pengguna super di lingkungan Linux.
Secara khusus, saya mencari fitur ini:
- A) Pencatatan penekanan tombol ke server syslog yang diamankan
- B) Kemampuan untuk memutar ulang sesi shell (sesuatu seperti scriptreplay)
- C) Idealnya, ini harus menjadi sesuatu yang mustahil (atau cukup sulit) untuk dielakkan tanpa memiliki akses fisik ke server.
Pikirkan hal ini dari sudut pandang keamanan / audit, dalam lingkungan di mana sysadmin yang berbeda (atau bahkan pihak ketiga) perlu diizinkan untuk melakukan operasi istimewa di server.
Setiap administrator akan memiliki akun nominalnya sendiri, dan setiap sesi interaktif harus sepenuhnya dicatat, dengan kemungkinan untuk mengulanginya jika perlu (misalnya, jika seseorang menggunakan mc untuk menghapus atau mengubah file penting, itu tidak akan cukup untuk ketahuilah bahwa orang itu mengeluarkan perintah mc; harus ada cara untuk melihat dengan tepat apa yang dilakukan setelah meluncurkan mc).
Catatan tambahan :
- Seperti yang ditunjukkan oleh womble, mungkin opsi terbaik adalah tidak meminta orang untuk masuk dengan hak root untuk melakukan perubahan pada server, tetapi melakukan hal itu melalui sistem manajemen konfigurasi. Jadi mari kita asumsikan situasi di mana kita tidak memiliki sistem seperti itu dan kita perlu memberikan akses tingkat root ke orang yang berbeda melalui server yang sama .
- Saya sama sekali tidak tertarik melakukan hal ini secara diam-diam: setiap orang yang masuk ke server dengan hak akses root akan sepenuhnya sadar bahwa sesi akan direkam (dengan cara yang sama, misalnya, operator pusat panggilan tahu bahwa percakapan mereka adalah sedang direkam)
- Tidak ada yang akan menggunakan akun pengguna super umum ("root")
- Saya menyadari ttyrpld dan sepertinya melakukan apa yang saya cari. Tetapi sebelum seperti itu, saya ingin tahu apakah ini dapat diselesaikan dengan menggunakan kernel yang tidak dimodifikasi. Saya ingin tahu apakah ada alat untuk Debian pada khususnya (atau Linux pada umumnya) yang memungkinkan audit penuh akun superuser tanpa menambal shell atau kernel.