监控用户发出的root命令

监控用户发出的root命令

我尝试使用 sudo 和 log_output 指令在 visudo 文件上记录我们组织中的系统管理员发出的命令及其输出,如下所示

Defaults        env_reset
Defaults            secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
Defaults:%sudo log_output

...
root    ALL=(ALL) ALL

...
%sudo ALL=(ALL)  ALL

这正是所要求的,但它有一个很大的缺陷。

当系统管理员执行须藤苏-sudo 文件处理程序缓冲命令输出,直到 sudo 会话关闭,因此管理员可以关闭终端,并且永远不会记录命令输出。

另外,我们尝试了 auditd,但是它不知道谁首先切换到 root。

是否有已知的方法可以强制 sudo 刷新日志文件?如果有更好的软件可以记录我们可能忽略的 root 活动,请告诉我。

谢谢!

答案1

苏多什可能是更好的解决方案。它会根据需要记录会话,并为您提供“VCR”功能,让您可以重播会话,它也可以在大多数主要发行版软件包存储库中使用。

答案2

sudo 1.8.20 或更高版本具有可启用的 iolog_flush 设置。

相关内容