우선, 나는 몇 년 동안 스누피를 사용해 왔지만 그것은 나에게 필요한 것이 아니며 기록 파일을 확인하는 것도 나에게 해결책이 아닙니다.
서버에 프로그램을 설치하려면 개발자에게 ROOT 액세스 권한을 부여해야 하며 개발자가 세션을 종료한 후 기록을 제거한다는 것을 알고 있습니다.
남용 활동으로부터 서버를 보호하기 위해 그가 어떤 명령을 실행했는지 확인해야 합니다.
로깅 명령에 대한 솔루션이 있습니까?
답변1
프로그램을 설치하려면 개발자에게 ROOT 액세스 권한을 부여해야 하는데...
아니요, 그렇지 않습니다.
그들을 데려가세요써 내려 가다아니면 더 나은 방법은스크립트설치 단계를 수행하고 대신 실행합니다.
이를 직무 분리라고 합니다. 그들은 개발자입니다. 당신은 시스템 관리자입니다. 허락하다그들을그 일을 해그들은(코드 작성, 테스트 등)을 잘하고너그 일을 해당신은(기계를 안전하게 유지하고 효율적으로 실행하는 등)에 능숙합니다.
... 세션 종료 후 기록을 삭제할 것이라는 것을 알고 있습니다.
이것이 귀하의 조직에 대한 "표준 관행"입니까? 그렇지 않다면 왜 그렇게 해야 한다고 생각하는가?
남용 활동으로부터 서버를 보호하기 위해 그가 실행하는 명령을 확인해야 합니다.
당신이하지 않는 것이 분명하다신뢰하다이 개발자.
그렇다면 그들을 놔두어서는 안 된다.근처 어디든이 서버.
그것은작업거기에 의심스러운 것을 설치하도록 허용하면 전화를 겁니다.
필요한 경우 문제를 경영진에게 에스컬레이션하세요.
답변2
다음을 사용하여 사용자의 모든 활동을 기록할 수 있습니다.psacct 패키지.
패키지 에는 , 및 등
psacct프로세스 활동을 모니터링하기 위한 여러 유틸리티가 포함되어 있습니다 .aclastcommacctonsa이
ac명령은 사용자가 로그온한 기간에 대한 통계를 표시합니다.이
lastcomm명령은 이전에 실행된 명령에 대한 정보를 표시합니다.이
accton명령은 프로세스 계정을 켜거나 끕니다.이
sa명령은 이전에 실행된 명령에 대한 정보를 요약합니다.
RHEL/Fedora/CentOS에 설치
# yum install psacct
우분투/데비안에 설치
$ sudo apt-get install acct
또는
# apt-get install acct
RHEL에서 다음 명령을 입력하여 생성합니다./va/계정/pacct파일을 제출하고 서비스를 시작하세요
# chkconfig psacct on
# /etc/init.d/psacct start
Suse에서 다음 명령을 입력하여 생성합니다./va/계정/pacct파일을 제출하고 서비스를 시작하세요
# chkconfig acct on
# /etc/init.d/acct start
다음에 의해 실행된 명령 표시사용자
$ lastcomm [USER]