Отображать сообщение, когда учетная запись root доступна по IP
Я создал скрипт автозапуска, который отправит мне электронное письмо, когда будет получен доступ к учетной записи root. Я, однако, хотел бы еще больше уточнить детали этого сообщения.
У меня есть несколько пользователей, которые имеют доступ к моему серверу и хотели бы контролировать основную корневую учетную запись в случае, если что-то случится, я могу пойти к человеку и спросить, что они сделали, набрав.
Как правило, в электронном письме говорилось: «Учетная запись ROOT была доступна [пользователю] по IP-адресу [IP-адрес] по адресу [час]: [мин] [am / pm]»
Или, если это невозможно, я могу согласиться на учетную запись пользователя или IP-адрес. Я не привередлив.
1 ответ
/var/log/auth.log содержит довольно много того, что вы хотите. Например, при переходе к корню с помощью sudo -s была сгенерирована эта запись:
Dec 18 19:31:23 kazwolfe sudo: kazwolfe : TTY=pts/1 ; PWD=/home/kazwolfe ; USER=root ; COMMAND=/bin/bash
Dec 18 19:31:23 kazwolfe sudo: pam_unix(sudo:session): session opened for user root by kazwolfe(uid=0)
Оттуда я могу посмотреть на команду who, чтобы получить IP-адрес pts/1:
kazwolfe pts/1 2017-12-18 19:30 (2001:db8::4665)
Этот раздел в скобках является моим IPv6-адресом и может использоваться в качестве записи журнала. Вы также можете увидеть, когда я загрузил сеанс.
auth.log также будет содержать другие записи для sudo:
Dec 18 19:33:30 kazwolfe sudo: kazwolfe : TTY=pts/1 ; PWD=/home/kazwolfe ; USER=root ; COMMAND=/bin/cat data
Dec 18 19:33:30 kazwolfe sudo: pam_unix(sudo:session): session opened for user root by kazwolfe(uid=0)
Dec 18 19:33:30 kazwolfe sudo: pam_unix(sudo:session): session closed for user root
Dec 18 19:33:40 kazwolfe sudo: kazwolfe : TTY=pts/1 ; PWD=/home/kazwolfe ; USER=root ; COMMAND=/usr/bin/tail /var/log/auth.log
Dec 18 19:33:40 kazwolfe sudo: pam_unix(sudo:session): session opened for user root by kazwolfe(uid=0)
Пока вы заставляете своих администраторов проходить sudo, вы будете генерировать эти записи журнала при каждой эскалации. Однако важно отметить, что пользователь root может скрыть или иным образом изменить эти журналы, чтобы скрыть что-либо.
Если вы не хотите подключать файлы журналов, вы можете установить sudo в , всегда отправлять электронную почту (см. man sudoers), хотя имейте в виду, что это может генерировать . ] много бесполезных писем.
Если вы сделаете это, ваша электронная почта будет содержать почти точно такую же информацию, как указано выше. IP-адреса по-прежнему нужно запрашивать отдельно, но вы всегда можете использовать команду last для получения нескольких последних входов в систему.
Администраторы должны быть очень быстрыми, чтобы перехватывать вещи, поэтому им будет трудно скрывать повреждения (хотя они могут удалять электронные письма из вашего почтового ящика, если они находятся на том же сервере) , Тем не менее, эти журналы по-прежнему не предоставляют информацию о том, что они делали в сеансе sudo (особенно, если они перешли в командную строку). Решения для этого гораздо сложнее.