首先,我已經使用史努比工作了幾年,這不是我需要的,檢查歷史文件也不是我的解決方案。
我必須向開發人員授予 ROOT 存取權限才能在伺服器上安裝程序,並且我知道他在退出會話後會刪除歷史記錄。
我需要檢查他運行了哪些命令來保護伺服器免受濫用活動的影響。
記錄指令有什麼解決方案嗎?
答案1
我必須向開發人員授予 ROOT 存取權限才能安裝程式...
不,你不知道。
讓他們寫下或者,更好的是,腳本安裝步驟並代表他們執行。
這稱為職責分離。他們是開發人員。您是系統管理員。讓他們做那些事他們是擅長(編寫程式碼、測試等)並且你做那些事你是擅長(保持機器安全和高效運作等)。
……我知道他會在退出會話後刪除歷史記錄。
這是您的組織的「標準做法」嗎?如果沒有,為什麼他們覺得有必要這麼做?
我需要檢查他運行了哪些命令來保護伺服器免受濫用活動的影響。
很明顯你不相信這位開發商。
如果是這樣的話,那你就不應該讓他們附近的任何地方這個伺服器。
它是你的工作如果您允許他們在那裡安裝有問題的東西,就在線。
如有需要,將問題上報給管理階層。
答案2
您可以使用以下命令記錄使用者的所有活動psacct 包裹。
該
psacct軟體包包含多個用於監視進程活動的實用程序,包括ac、lastcomm和。acctonsa此
ac命令顯示有關使用者登入時間的統計資料。該
lastcomm命令顯示有關先前執行的命令的資訊。該
accton指令開啟或關閉進程記帳。該
sa命令總結了有關先前執行的命令的資訊。
在 RHEL/Fedora/CentOS 上安裝
# yum install psacct
在 Ubuntu/Debian 上安裝
$ sudo apt-get install acct
或者
# apt-get install acct
在 RHEL 中輸入以下命令來建立/va/帳號/pacct文件並啟動服務
# chkconfig psacct on
# /etc/init.d/psacct start
在Suse中輸入以下命令來創建/va/帳號/pacct文件並啟動服務
# chkconfig acct on
# /etc/init.d/acct start
顯示執行的命令使用者
$ lastcomm [USER]