Аудит действий пользователей в Linux — как?

Question

[zhynna]

Есть локальный сервер с Linux.

Есть пара десятков обычных пользователей этого сервера.

Пользователи не имеют повышенных прав, и заходят на локальный сервер с помощью ssh.

Для каждого пользователя локального сервера создана пара ключей - открытый и закрытый - с помощью ssh-keygen. Открытые ключи пользователей распространены на удаленные серверы (Linux/AIX/BSD) с помощью ssh-copy-id root@server. Т.е. пользователи могут заходить на удаленные серверы с правами root используя ключи.

Задача - логировать все действия пользователей на удаленных серверах.

На удаленных серверах мы не можем ничего делать, нет возможности зайти, т.е. все логирование надо делать на локальном сервере.

Вопрос - как? Пока красивых решений не нахожу :-(

Answer 1

[Влад Животнев]

Заменить shell с /bin/bash на вызов bash-а завернутого в утилиту script.

Comments

[zhynna]

А где бы толкового почитать про это? Вы сами пользовались таким решением?

[Влад Животнев]

zhynna: а что читать-то вы про него собрались?

cat > /usr/bin/logger.sh
script -a -t /var/log/console/username -c /bin/bash
^D

И ставить /usr/bin/logger.sh в качестве шелла.

[zhynna]

Влад Животнев: Не получается: /usr/bin/logger.sh: Exec format error

[zhynna]

Влад Животнев: Это при попытке зайти пишет.

[zhynna]

Влад Животнев: chmod +x стоит

[Влад Животнев]

zhynna: шабанг есть? скрипт вообще запускается?

[Сергей Н]

Я просто оставлю это здесь
manpages.ubuntu.com/manpages/vivid/en/man8/pam_tty...

[Alister O]

Влад Животнев а как бороться с форками tty ?

Answer 2

[Saboteur]

А зачем вы даете root права пользователям? Что конкретно они должны делать?

Через sudoers можно легко настроить, чтобы пользователи могли выполнять через sudo только определенные команды.
Если им нужно дать возможность ребутить какой-то сервис, пишете скрипт, ставите на него права rx и даете в sudoers выполнение только этого скрипта.
Если нужен мониторинг, то ставите мониторинг, а не даете пользователям root чтобы они вручную что-либо ковыряли.
Можете указать цель задачи на более высоком уровне абстракции, поскольку неудобство технического решения очень часто связано с неправильным подходом к решению задачи в целом.

Comments

[zhynna]

Дело в том, что заранее неизвестно что может понадобиться пользователям на удаленных серверах, поэтому нельзя описать в sudoers команды, которые могут быть выполнены пользователями. К тому же возможности по настройке удаленных серверов ограничены. Так что sudo в любом случае не выход.

[Saboteur]

zhynna: Очень непонятно, зачем ПОЛЬЗОВАТЕЛЯМ на удаленных серверах права АДМИНИСТРАТОРА системы.

Все, что вы хотите сейчас сделать, при наличии прав администратора можно скрыть/подчистить/удалить/поломать.

[zhynna]

В том-то и дело, что это не простые пользователи, им надо иногда выполнять административные задачи. Понятно, что с правами root они могут удалить любые логи, и изменить любые настройки, поэтому я хочу логировать на сервере, с которого они заходят на остальные серверы, и на котором у них нет прав.

[Saboteur]

А что помешает пользователям зайти на ваш сервер, скопировать себе приватный ключ, и подключаться к удаленным серверам уже не с вашего сервера а со стороннего?

Посмотрите ответ от Адрея Бурова, но нужно понимать, что root доступ для злоумышленника - это сразу никак не закроешь и не подкопаешь, если человек захочет что-то сделать плохое.

[zhynna]

Сергей: Они не настолько крутые админы, чтобы делать так. К тому же факт копирования файлов отметится в логах.

[Saboteur]

zhynna: какой факт копирования? приватный ключ это просто текст. Его можно вывести на экран и скопировать, его можно открыть внутри vi или mc, что не попадет в логи баша. Его можно открыть через хитрый регэксп, чтобы в историю команд попало непонятно что.

[zhynna]

Сергей: Да, согласен, можно запустить, например, vim, и скопировать через него.

[Saboteur]

"На удаленных серверах мы не можем ничего делать, нет возможности зайти, т.е. все логирование надо делать на локальном сервере."
Зачем логировать действия пользователей, к которым вы по идее не имеете доступа?
А если пользователь при работе с удаленным серверов введет секретную информацию, к которой вы не должны иметь доступ?
А если пользователь просто запустит ssh туннель через ваш сервер, и будет работать на своем компе, шифруя трафик между ним и удаленным сервером?

В общем постановка вашей задачи очень неясная, зачем так.

[zhynna]

Сергей: Постановка задачи не моя, это заказчик хочет.

Answer 3

[Андрей Буров]

написать suid приложение которое будет запускать https://asciinema.org/ и писать куда-нибудь данные и запускать ssh клиент.

Answer 4

[alexander sm1ly]

у тебя 2 варианта.
1. платный fudo
2. lshell