Je voudrais savoir quelles sont les meilleures approches pour suivre les activités des super-utilisateurs dans un environnement Linux.
Plus précisément, je recherche ces fonctionnalités:
- A) Enregistrement des frappes sur un serveur Syslog sécurisé
- B) Possibilité de rejouer des sessions shell (quelque chose comme scripttreplay)
- C) Idéalement, cela devrait être impossible (ou assez difficile) à contourner sans avoir un accès physique au serveur.
Pensez à cela d'un point de vue sécurité / audit, dans un environnement où différents administrateurs système (ou même des tiers) doivent être autorisés à effectuer des opérations privilégiées sur un serveur.
Chaque administrateur aurait son propre compte nominal, et chaque session interactive devrait être entièrement enregistrée, avec la possibilité de la relire si nécessaire (par exemple, si quelqu'un a utilisé mc pour supprimer ou modifier des fichiers critiques, il ne suffirait pas de sachez que cette personne a émis la commande mc; il doit y avoir un moyen de voir exactement ce qui a été fait après le lancement de mc).
Notes supplémentaires :
- Comme womble l'a souligné, la meilleure option pourrait être de ne pas se connecter avec des privilèges root pour effectuer des modifications sur les serveurs, mais plutôt de le faire via un système de gestion de la configuration. Donc , supposons une situation où nous ne disposons pas d' un tel système et nous devons accorder un accès au niveau de la racine à des personnes différentes sur le même serveur .
- Je ne suis pas du tout intéressé à le faire subrepticement: chaque personne se connectant à un serveur avec des privilèges root serait pleinement consciente que la session sera enregistrée (de la même manière que, par exemple, les opérateurs de centre d'appels savent que leurs conversations sont en cours d'enregistrement)
- Personne n'utiliserait un compte de superutilisateur générique ("root")
- Je connais ttyrpld et il semble faire ce que je recherche. Mais avant de procéder de cette façon, j'aimerais savoir si cela peut être résolu en utilisant un noyau non modifié. Je veux savoir s'il existe des outils pour Debian en particulier (ou Linux en général) qui permettent un audit complet des comptes de superutilisateur sans patcher le shell ou le noyau.