sudo権限を監視する必要がある

sudo権限を監視する必要がある

私は教育目的でLinuxを学んでいますが、このオペレーティングシステムは本当に気に入っています。

宿題では、ユーザーがサーバーを管理するときに最も安全だと思うシステムを実装する必要がありますが、このように構成したいと思います。

root権限を持つユーザーがソフトウェアまたはライブラリをインストールする必要がある場合は、コマンドを入力するときにユーザーがソフトウェアをインストールしていることをsudo xxxxチーム管理者(正規情報セキュリティ)に伝える必要があります。johnxxxx

これが可能かどうかを知っている人はいますか?

現在、私の研究室はUbuntuで実行されています。

答え1

これは、非エキゾチックな構成を持つ最新のディストリビューションですでに発生しています。出力を参照してください。journalctl -xe

読みやすくするために、次のように解析できます。

journalctl -e | perl -ne 'print "\"$1\" ran \"$2\" with sudo\n"  if(/.*sudo.*?\:\s*(\S+).*COMMAND=(.*)/);'

答え2

これを行う方法はいくつかあります。

sudo認証イベントはデフォルトで記録され、journalctlsystemd ベースのシステムで表示できます。ログを分析できるリモートシステムにログを送信するように構成できます。

sudoまた、で説明されている独自のリモートロギングプロトコルもサポートしています。man sudo_logsrv.proto。これにはプロトコルをサポートするサーバープロセスが必要ですsudosudo_logsrvdただし、正確な通知要件を満たすために、より具体的な実装を作成できます。サーバーが利用可能になったら、次の項目に情報を追加してsudo情報を送信するように指示できます。log_serverssudoers

どちらの場合も、sudoそれ以上の認証イベントを記録でき、ユーザー全体のセッションも記録できます。

関連情報