制限されたsudo権限を持つこのユーザーがいますが、彼は時々間違いを犯します。私は彼の冒険を注意深く観察し、より少ない発掘作業でダメージを取り戻すことができるようにしたいと思います。理想的には、次のような機能を備え、うまく統合して表示できるサービスが欲しいです。
- シェルの入力と出力を追跡し
ttyrec(またはscriptロギングsudoが設定されている場合)、ttyplay(またはscriptreplayまたはsudoreplay)などのセッションを再生できることは、ncursesプログラムとの互換性には適していますが、必須ではなくttyrec明確に実行できます。 - ファイルのアクセス、作成、変更を追跡します。理想的には、ファイルが変更または削除されるたびにファイルをバックアップします。
これまでに必要な機能の大部分を得るために設定する必要があるいくつかのツールが見つかりましたが、それをうまく統合するOSS製品を見たことはありません。 (Lynis Community Editionは機能についてあまり明確ではありません。)
- シェルIOを記録するために、彼のログに、または
ttyrec $(mktemp)(script $(mktemp)sudosudo -u $USER -iロギング設定)を置くことができます。.bashrc /usr、同じ特定のディレクトリのファイルアクセスを追跡するように監査を設定します/etc。/var- LVMスナップショットはログイン時に作成されますが、これはやや過剰であり、システムのパフォーマンスを低下させる可能性があります。
編集する: ttyrecscriptすべてのIOロギング要件を満たすより良い選択肢のようです。これで、ファイル操作を記録する良い方法を見つける必要があります。
提案やベストプラクティスの提案があればありがとうございます。
答え1
たぶんあなたはあなたを励ますことができます行政良いロギング方法を使用してください。Gnu画面これはうまくいった。必要以上に多くの機能を追加し、ロギングを切り替える機能もあるので、必要に応じて直接オフにすることができます。再生機能は不足していますが、ロギングがオンのときにほとんどの入力と出力を追跡するため、ソリューションの一部になる可能性があります。
deflog onあなたのユースケースでは、デフォルトで新しいWindowsログインを作成するためにscreenrcファイルに追加する必要があります。
しかしながら、これはユーザが切り替えることができるという欠点を有する。
以下を使用してファイル監視を実行できます。監視装置、変更のファイルチェックサムを監視し、さまざまなサービスのステータスも確認できます。これをcronjobのrsyncと組み合わせると(とにかくそのようなものが必要なので)、特に画面で開くと、サーバーで正確に何が起こっているのかについて非常に確実なアイデアが得られます。ユーザーがロギング設定を操作しないようにしてください。
これらのツールを組み合わせることで、基本レベルの回復可能性を確保しながら、ユーザーを注意深く監視できるかなり強力で軽量なシステムを実現できます。