Kdo používá sudo su - ?

[PAvel2]

Ahoj. Mam jeden jumphost na kterym bych potreboval zjistit nebo drzet evidenci  toho kdo pouzil sudo su - nebo se jinak prepl na roota. Resil uz nekdo podobny problem?

[Reklama]

[Kit]

Jen tak na okraj: Místo sudo su - používám zkráceninu sudo -i

Domnívám se, že pokud někdo k něčemu takovému má práva, evidence je už poněkud zbytečná... pokud se to neloguje na jiném stroji.

[Sten]

Evidence je v /var/log/auth.log, ale jak píše Kit, když už má někdo roota, je pro něj snadné se odtamtud smazat.

Mimochodem já používám jen sudo (bez parametrů). Stačí v sudoers přidat Defaults shell_noargs.

[j]

Viz predchozi a ani externi logovani ti nepomuze. Pokud budu chtit delat neco nekalyho, tak se na to nejdriv pripravim. Trebas tak, ze modnu log demona. Nevina akce (aktualizace ...), nic podezrelyho. Za 1/2 roku uz nebudes mit ani logy o tyhle akci.

Musel bys ten system zcela zasadne prekopat, aby zarucil auditovani a nedovolil to menit.

[Trident]

Vocasismus je neauditovat. Vocasismus je nechávat logy na tom samém stroji. Asi bych se mrknul na selinux. Jumphosti bývají většinou na security jednoduchá věc. Pár ssh sesnu, telnetu, sériových portu, prip modemu. Na co potřebuješ mít takové příkazy povolené na jumphostu? Proč vůbec je třeba sudo?

[Reklama]