Fórum Root.cz

Hlavní témata => Server => Téma založeno: PAvel2 07. 09. 2015, 15:17:17

Název: Kdo používá sudo su - ?
Přispěvatel: PAvel2 07. 09. 2015, 15:17:17

Ahoj. Mam jeden jumphost na kterym bych potreboval zjistit nebo drzet evidenci  toho kdo pouzil sudo su - nebo se jinak prepl na roota. Resil uz nekdo podobny problem?

Název: Re:Kdo pouziva sudo su -
Přispěvatel: Kit 07. 09. 2015, 15:31:56

Jen tak na okraj: Místo sudo su - používám zkráceninu sudo -i

Domnívám se, že pokud někdo k něčemu takovému má práva, evidence je už poněkud zbytečná... pokud se to neloguje na jiném stroji.

Název: Re:Kdo používá sudo su - ?
Přispěvatel: Sten 07. 09. 2015, 16:09:50

Evidence je v /var/log/auth.log, ale jak píše Kit, když už má někdo roota, je pro něj snadné se odtamtud smazat.

Mimochodem já používám jen sudo (bez parametrů). Stačí v sudoers přidat Defaults shell_noargs.

Název: Re:Kdo používá sudo su - ?
Přispěvatel: j 07. 09. 2015, 16:32:01

Viz predchozi a ani externi logovani ti nepomuze. Pokud budu chtit delat neco nekalyho, tak se na to nejdriv pripravim. Trebas tak, ze modnu log demona. Nevina akce (aktualizace ...), nic podezrelyho. Za 1/2 roku uz nebudes mit ani logy o tyhle akci.

Musel bys ten system zcela zasadne prekopat, aby zarucil auditovani a nedovolil to menit.

Název: Re:Kdo používá sudo su - ?
Přispěvatel: Trident 07. 09. 2015, 19:55:39

Vocasismus je neauditovat. Vocasismus je nechávat logy na tom samém stroji. Asi bych se mrknul na selinux. Jumphosti bývají většinou na security jednoduchá věc. Pár ssh sesnu, telnetu, sériových portu, prip modemu. Na co potřebuješ mít takové příkazy povolené na jumphostu? Proč vůbec je třeba sudo?