Stiamo passando dalla password di root condivisa all'uso di sudo. Come controllare l'utilizzo di sudo?

Quando sono venuto a bordo, tutte le SAs wherevano memorizzare la password di root nei sisthemes. Ho ritenuto che questo fosse ingombrante (quando qualcuno si è separato dall'azienda, abbiamo dovuto toccare each server e cambiare la password) e insicura.

Finalmente è stato sufficiente tirare per spingere account con accesso sudo . Voglio avere una transizione liscia, quindi questo è il mio piano iniziale:

  • Linux (non trasparente) per process di contabilizzazione di enormi pagine
  • Come trovare il file .pid per un determinato process
  • Come ospitare un singolo sito web su più server geograficamente diversi
  • mdadm: la sostituzione dell'unità mostra come riserva e rifiuta di sincronizzare
  • ldapsearch formato file di password
  • Come posso avere un file di host specifici per l'utente?
    1. Consentire agli SA di eseguire comandi "approvati" senza immettere password.
    2. Ogni altro command richiederà password each volta che si utilizza sudo . Verificherò questo command e definirò come "approvato" se ritenuto necessario o impedire loro di essere eseguiti se costituiscono un rischio per la sicurezza.

    La nostra specifica utente sembra così:

     %sysadmins ALL = PASSWD: ALL, NOPASSWD: SERVICES, FILE_READING, !/bin/su 

    Domanda: Come posso eseguire l'auditing sudo (preferibile via e-mail, ma i registri farebbero) quando viene eseguito un command configurato con PASSWD ?

  • SSH - Come includere il command "-t" nel file ~ / .ssh / config
  • Conservare i symlinks di destinazione esistenti con rsync
  • accesso ssh senza password
  • Trovare i file in una directory non in un altro
  • Autenticazione centralizzata - Raccomandazioni?
  • cron script di lavoro - lo script non funziona dal cron (o non si avvia)
  • 3 Solutions collect form web for “Stiamo passando dalla password di root condivisa all'uso di sudo. Come controllare l'utilizzo di sudo?”

    Ogni volta che viene richiamata sudo, esso registra il command eseguito a syslog, quindi consiglio di installare solo il logwatch. Per impostazione predefinita, viene fornito con filtri / aggregatori per l'analisi delle voci sudo e può inviarti i rapporti giornalieri.

    Potrebbe essere necessario scrivere un filter logwatch personalizzato per distinguere tra i due diversi set di comandi.

    Se è necessaria la notifica immediata dei comandi sudo, è ansible utilizzare il module di output mail con rsyslog. Dovrai applicare filtri in modo che solo i messaggi sudo vengano inviati a questo module, per non svegliarsi la mattina con i messaggi di 10k nella tua casella di posta.

    Come ha detto ErikA, sudo registra già tutto quello che viene eseguito. È inoltre ansible installare Splunk e (se si utilizza la versione a pagamento) avere un avviso che ti invierà e-mail each volta che vede un messaggio sudo. Questo solo probabilmente non vale la pena di concedere la licenza, ma se ne avete già uno, o lo avete pensato, questo sarebbe facilmente curato.

    In genere tutti questi events sono registrati in "/var/log/auth.log"

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.