Я использую sudosh, чтобы, среди прочего, гарантировать, что поставщики, которым предоставлен ssh-доступ к моему серверу, могут нести ответственность за операции, которые они выполняют на сервере.
sudosh очень хорошо записывает журналы, но сохраняет записи с разрешениями на запись для пользователя, который записывается.
Как я могу предотвратить удаление этих журналов этим пользователем?
Если вам действительно нужно предоставить ssh доступ "внешним" лицам, отправьте строки журнала, как только они будут созданы на другом вашем сервере, к которому они не могут получить доступ (syslogd- * уже подготовлен для входа на удаленный хост).
Если требуется еще более высокий уровень безопасности / прослеживаемости - войдите в линейный принтер. Они склонны "сбрасывать" данные на бумажный след с каждым возвратом каретки. Позвольте cron также написать несколько строк через определенные промежутки времени (чтобы вы могли видеть / документировать, что ваша защита все еще работает).
Я реализовал что-то лучше, чем судош.
Linux предлагает способ сделать это, используя систему «Аудит». С помощью этой части ядра и его инструментов пользовательского пространства вы можете регистрировать системные вызовы (и другие вещи).
Самый важный из них - системный вызов execve. Имея запись о его вызовах, вы будете знать, что пользователи делают после «sudo some_shell».
Смотрите здесь для более подробной информации.
Аудит действий пользователя после sudo
Это решение с Syslog прекрасно работает для того, что вы хотите.
