Доброе время суток всем!
Была поставлена следующая задача:
Есть сервера с FreeBSD 7.0 Realise, которые управляются по ssh. Доступ имеют несколько человек. Иногда возникают вопрос "Кто это сделал?". Вход выполняется под разными юзерами из группы wheel, затем делается su . Нужна система которая позволяет полностью логирует действия этих юзеров в том числе и после выполнения su:
1. Вход/выход из системы (с фиксацией времени и ip с которого был конект)
2. Выполняемые команды с параметрами
3. Какие файлы менялись и что именно было изменено.
4. Сделать так чтоб файлы невозможно было отредактировать, например из-за того что они хранятсяя в особой форме, которую можно читать.
5. Чтоб эту систему сложно было выгрузить и при всех таких попытках даже при kill -9 шла запись, кто это сделал.
6. Желательно простая форма для просмотра логов.
7. Возможность нормальной ротации логов (встроенными или общесистемными функциями).Настроил систему аудита, она удовлетворяет многим параметрам,но не всем (
1. Выполняемые команды пишутся без параметров.
2. Не пишет что именно поменялось в файле при его редактировании.
3. Не самая простая система просмотра логов, хотя это мелочь ) .Посоветуйте, что можно использовать еще, вдополнение к auditd или вместо него
P.S. советы типа оставить доступ только себе в данном случае не приемлемы, с моему глубокому сожалению ( ...
Termlog (http://www.lissyara.su/?id=1821)
И еще http://xgu.ru/wiki/LiLaLo
>И еще http://xgu.ru/wiki/LiLaLoА также http://www.freebsd.org/doc/en/books/handbook/audit.html
>>И еще http://xgu.ru/wiki/LiLaLo
>
>А также http://www.freebsd.org/doc/en/books/handbook/audit.htmlLilalo посмотрю, похоже очень интересная вещь, обязательно поставлю. За ссылку спасибо!
Системы аудита я уже поднял (см. первое сообщение), не устроили следуйющие моменты:
1. Выполняемые команды пишутся без параметров.
2. Не пишет что именно поменялось в файле при его редактировании.
3. Не самая простая система просмотра логов, хотя это мелочь ) .