我尝试使用 sudo 和 log_output 指令在 visudo 文件上记录我们组织中的系统管理员发出的命令及其输出,如下所示
Defaults env_reset
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
Defaults:%sudo log_output
...
root ALL=(ALL) ALL
...
%sudo ALL=(ALL) ALL
这正是所要求的,但它有一个很大的缺陷。
当系统管理员执行须藤苏-sudo 文件处理程序缓冲命令输出,直到 sudo 会话关闭,因此管理员可以关闭终端,并且永远不会记录命令输出。
另外,我们尝试了 auditd,但是它不知道谁首先切换到 root。
是否有已知的方法可以强制 sudo 刷新日志文件?如果有更好的软件可以记录我们可能忽略的 root 活动,请告诉我。
谢谢!
答案1
苏多什可能是更好的解决方案。它会根据需要记录会话,并为您提供“VCR”功能,让您可以重播会话,它也可以在大多数主要发行版软件包存储库中使用。
答案2
sudo 1.8.20 或更高版本具有可启用的 iolog_flush 设置。