J'ai cet utilisateur qui a des privilèges sudo limités, mais il parvient à foirer de temps en temps. Je voudrais garder un œil sur ses aventures, afin de pouvoir inverser les dégâts en creusant moins. Idéalement, je voudrais un service avec les fonctionnalités suivantes bien intégrées et présentables
- Pistes d' entrée et de sortie comme shell
ttyrec
(ouscript
ousudo
si l' enregistrement est mis en place) et peut rejouer la session comme ttyplay (ouscriptreplay
ousudoreplay
) Compatibilité avec les programmes ncurses serait bien, mais pas nécessaire,ttyrec
peut le faire en apparence. - Suit l'accès aux fichiers, leur création et leur modification. Idéalement, il pourrait également sauvegarder un fichier chaque fois qu'il est modifié ou supprimé.
Jusqu'à présent, j'ai trouvé plusieurs outils que je devrais configurer pour obtenir la plupart des fonctionnalités demandées, mais je n'ai pas trouvé de produit OSS qui les intégrerait bien (l'édition communautaire Lynis n'est pas vraiment claire sur la fonctionnalité) .
- Je pourrais mettre
ttyrec $(mktemp)
,script $(mktemp)
ousudo -u $USER -i
(avec sudo logging set up) dans le sien.bashrc
pour journaliser le shell IO. - Mise en place d' audit pour l' accès aux fichiers dans certains répertoires, comme
/usr
,/etc
,/var
. - Créez un instantané LVM lorsqu'il se connecte, mais cela est un peu exagéré et peut dégrader les performances du système.
EDIT: ttyrec
semble être une meilleure alternative à script
, il satisferait toutes mes exigences de journalisation IO. Maintenant, je dois trouver un bon moyen de consigner la manipulation des fichiers.
Je serai reconnaissant pour toutes suggestions ou recommandations de meilleures pratiques.
script
session. Il ne s'agit pas de l'espionner, mais de lui donner l'assurance que ses erreurs peuvent être retracées.