Auditing - Logging toutes les commandes et les arguments

Je veux augmenter ma sécurité et à la vérification de certains systèmes d'exploitation forestière complète par l'ajout de toutes les commandes et tous les arguments pour chaque commande qui est tapé sur un shell sur le système.

J'ai utilisé sa avant que les journaux de ce programme de la commande, et non pas les arguments qui ont fait toute la différence. Aussi, Im pas sûr qu'il va attraper shell built-ins ou de tronquer les fichiers de personnes comme "> fichier".

J'ai utilisé snoopy avant j'ai aimé et qui semblait fonctionner très bien même si elle ne semble pas être soutenu plus depuis 2004 la recherche sur le site sourceforge. Depuis celui-ci utilise execve Im pas sûr que cela va attraper shell built-ins, soit en fait, et je ne suis sûr de packages / maintenance de le faire, mais compte tenu qu'il n'a pas été mise à jour 3. 5 ans, je doute des mises à jour sera un problème...(bien sûr, cela soulève des questions quant à la sécurité ou des bugs découverts dans ce cas non maintenue).

Ive sudosh également trouvé sur google, mais cela semble être une approche imparfaite car il nécessite de donner aux gens un autre shell par sudo. Qu'arrive-t-il lors de la connexion toutes les commandes, mais une seule commande est juste "bash" et tout l'intérieur de cette commande est une boîte noire?

Idéalement jaimerais quelle que soit la solution de vérification à mettre en œuvre, je shell neutre.

Sudo si lui-même totalement insuffisant parce que les gens "sudo su" et il serait difficile, sinon impossible, d'accorder l'accès uniquement à des commandes spécifiques.


Alors qu'est-ce que vous utilisez pour la commande complète de vérification / d'exploitation forestière?

Je n'ai pas de réponse, mais j'ai une question. Qui a le temps de lire tous ces journaux?

Thats what logservers et l'analyse automatique et l'alerte est....

Mais aussi, imaginer si quelque chose d'étrange s'est produit, wouldnt vous voulez aller et regarder les commandes sur le système passe à ce moment-là?

En fait, ce fut le cas un peu de temps de retour avec un dev à mon lieu de travail. J'ai attrapé une mauvaise utilisation de la commande qui a éclaté quelques-uns de nos sites Web. Heureusement, il a utilisé la commande sudo j'ai attrapé par le biais de journaux, mais si il a lieu ensuite fait sudo su j'aurais été déconcerté.

Juste par curiosité, ce que la commande s'est vos sites?

Il a été un chown ou quelque chose qui avait un double point en elle ainsi que les répertoires qui ont changé la propriété non seulement de ce répertoire, mais son pare donc pas les permissions sur certains répertoires webapp qui étaient à côté de celle que les dev travaille. Le dev a fait quelque chose stupide comme

Le. était OK, mais la .. vissés en place.

Ainsi, le double point chown dit de remonter d'un répertoire de la même façon que la commande cd. Dans votre cas, il s'agissait simplement d'une erreur et non d'une tentative d'attaque par déni de service, mais je me demande ce qui a des implications autrement.

c'est exactement pourquoi je veux que la vérification de la pleine commande __and__ argument indépendant sur l'exploitation forestière qui shell est utilisé.

Bonne chance de trouver cela. Je ne pense pas qu'il y est un tout en un programme pour cela. Vous mai besoin de 2 ou 3 choses différentes pour couvrir tous les angles.

Id être disposé à utiliser 2 ou 3 choses différentes si elles sont solides à utiliser et n'a pas besoin de redémarrer.