Stiamo passando dalla password di root condivisa all'uso di sudo. Come controllare l'utilizzo di sudo?

Quando sono venuto a bordo, tutte le SAs wherevano memorizzare la password di root nei sisthemes. Ho ritenuto che questo fosse ingombrante (quando qualcuno si è separato dall'azienda, abbiamo dovuto toccare each server e cambiare la password) e insicura.

Finalmente è stato sufficiente tirare per spingere account con accesso sudo . Voglio avere una transizione liscia, quindi questo è il mio piano iniziale:

  • routing di linux vlan
  • Decifrare i messaggi syslog continui mpt2sas
  • Primo login lento in una casella Samba collegata AD
  • Script per eseguire chown su tutte le cartelle e impostare il proprietario come nome della cartella less il trailing /
  • Ottenere l'elenco di connessioni ssh aperte per nome
  • L'automazione OpenVPN easy-rsa build-key?
    1. Consentire agli SA di eseguire comandi "approvati" senza immettere password.
    2. Ogni altro command richiederà password each volta che si utilizza sudo . Verificherò questo command e definirò come "approvato" se ritenuto necessario o impedire loro di essere eseguiti se costituiscono un rischio per la sicurezza.

    La nostra specifica utente sembra così:

     %sysadmins ALL = PASSWD: ALL, NOPASSWD: SERVICES, FILE_READING, !/bin/su 

    Domanda: Come posso eseguire l'auditing sudo (preferibile via e-mail, ma i registri farebbero) quando viene eseguito un command configurato con PASSWD ?

  • Come posso impedire che il calamaro venga rilevato?
  • Come posso visualizzare le size della coda di invio e ricezione TCP in Windows?
  • nsswitch.conf: c'è un demone che ho bisogno di riavviare?
  • Strumenti di GUI per amministrare Linux Box
  • Come installare WebSphere 8.5 da Linux zipfile?
  • Software per il test delle performance
  • 3 Solutions collect form web for “Stiamo passando dalla password di root condivisa all'uso di sudo. Come controllare l'utilizzo di sudo?”

    Ogni volta che viene richiamata sudo, esso registra il command eseguito a syslog, quindi consiglio di installare solo il logwatch. Per impostazione predefinita, viene fornito con filtri / aggregatori per l'analisi delle voci sudo e può inviarti i rapporti giornalieri.

    Potrebbe essere necessario scrivere un filter logwatch personalizzato per distinguere tra i due diversi set di comandi.

    Se è necessaria la notifica immediata dei comandi sudo, è ansible utilizzare il module di output mail con rsyslog. Dovrai applicare filtri in modo che solo i messaggi sudo vengano inviati a questo module, per non svegliarsi la mattina con i messaggi di 10k nella tua casella di posta.

    Come ha detto ErikA, sudo registra già tutto quello che viene eseguito. È inoltre ansible installare Splunk e (se si utilizza la versione a pagamento) avere un avviso che ti invierà e-mail each volta che vede un messaggio sudo. Questo solo probabilmente non vale la pena di concedere la licenza, ma se ne avete già uno, o lo avete pensato, questo sarebbe facilmente curato.

    In genere tutti questi events sono registrati in "/var/log/auth.log"

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.