La tua domanda è piuttosto ampia e tocca diversi argomenti. Potrebbe essere meglio prendere alcuni dettagli e metterli in una domanda separata.
Is it enough to forbid su
and allow sudo
in order to keep the traceability of the administrator actions?
... can sudo command have utility without a strong sudoer configuration ? which ones ?
% non sostituito% co_de ha un paio di vantaggi rispetto a sudo
.
-
Ogni su
può usare la sua password personale. In questo modo non è necessario ridistribuire la password di root se è stata modificata.
-
sudoer
può essere configurato per registrare l'attività. Se la tua configurazione sudo
scrive in una posizione remota, diventa difficile per qualcuno coprire le loro tracce.
Tuttavia, l'accesso illimitato al syslog
è ancora "non limitato".
-
Se non utilizzi un server root
remoto, le tracce possono essere facilmente coperte.
-
Per comodità, la gente spesso usa syslog
per ottenere una shell interattiva. Ciò ti consente di ottenere il completamento automatico di sudo -s
nelle directory con restrizioni. Sfortunatamente, i benefici di bash
sono nulli se a una persona è consentito eseguire syslog
. Inoltre ci sono molte alternative a sudo -s
che possono consentire l'esecuzione di comandi senza registrazione specifica.
(I can imagine a scenario where a user does a lot of sudo actions before deleting his bash_history)
sudo -s
non deve essere utilizzato come strumento di traccia cronologia. È solo per comodità dell'utente.
Is there another source beside .bash_history useful to keep traceability? can such a file be updated by an administrator (with sudo)?
Qualsiasi file sul server può essere aggiornato da una persona con accesso bash_history
illimitato. (sia tramite root
o sudo
)
Come tracciare l'attività di un su
utente può essere l'oggetto di una domanda diversa. Credo che le configurazioni avanzate di SELinux possano farlo, ma probabilmente non è pratico. Non conosco altro modo per tracciare l'attività di un root
utente.
Come ho detto se si dispone di una registrazione che dovrà essere scritta su un server di log remoto per impedire che vengano cancellati dall'hacker.
is it possible to restrict sudo -i and sudo -s in the configuration ?
Per rispondere alla lettera, questo può essere possibile, ma va oltre lo scopo di questo post. Prendi in considerazione la possibilità di creare una nuova domanda.
Tuttavia, questo non risolverà il tuo problema. Ad esempio, uno potrebbe usare root
invece di sudo su
. Uno potrebbe usare sudo -s
o aggiornare sudo sudoers
, ecc.
L'unico modo per risolverlo è "limitare" le abilità crontab
usando una lista bianca. Come hai detto, questo non è così comune, ma è certamente l'unico modo per raggiungere l'obiettivo di una tracciabilità affidabile con qualsiasi livello di dettaglio.
Spero che questo aiuti. Sentiti libero di chiedere chiarimenti sulla mia risposta o posta una domanda più specifica se hai nuove domande basate su ciò che hai imparato finora.