Quando entrei, todas as nossas SAs tinham que memorizar a senha root dos sistemas. Eu senti que isso era complicado (quando alguém se separa da empresa, tivemos que tocar em todos os servidores e alterar a senha) e inseguro.
Finalmente, consegui puxar o suficiente para enviar contas pessoais com sudoacesso. Eu quero ter uma transição suave, então este é o meu plano inicial:
- Permita que as SAs executem comandos "aprovados" sem inserir senhas.
- Todos os outros comandos exigirão senha sempre que você usar
sudo. Vou auditar este comando e defini-los como "aprovados", se necessário, ou impedi-los de serem executados se eles representam um risco à segurança.
Nossas especificações de usuário são assim:
%sysadmins ALL = PASSWD: ALL, NOPASSWD: SERVICES, FILE_READING, !/bin/su
Pergunta: Como faço a sudoauditoria (preferível por e-mail, mas os logs o fariam) quando um comando configurado com PASSWDé executado?
Respostas:
Toda vez que o sudo é chamado, ele registra o comando executado no syslog, então eu recomendo apenas instalar o logwatch. Por padrão, ele vem com filtros / agregadores para analisar entradas do sudo e pode enviar relatórios diários por e-mail.
Pode ser necessário escrever um filtro personalizado do relógio de registro para diferenciar seus dois conjuntos diferentes de comandos.
Se você precisar de notificação instantânea de comandos sudo, poderá usar o módulo de saída de email com o rsyslog. Você precisará aplicar filtros para que apenas as mensagens sudo sejam enviadas para este módulo, para que você não acorde de manhã com 10 mil mensagens na sua caixa de entrada.
fonte
Como ErikA disse, o sudo já registra tudo o que é executado. Você também pode instalar o Splunk e (se estiver usando a versão paga) ter um alerta que envia um e-mail para você sempre que receber uma mensagem sudo. Isso por si só provavelmente não vale a licença, mas se você já tem uma, ou já pensou nisso, isso seria resolvido facilmente.
fonte
Normalmente, todos esses eventos são registrados em "/var/log/auth.log"
fonte