我编辑我的问题以给出目标,而不是对解决方案的假设。
- 基于 RHEL 的发行版
- root 用户永远不会被使用,并且它的密码是保密的
运行的所有命令sudo都记录在/var/log/secure. 当用户使用 切换到 root 时sudo su/sudo -i,不会记录在会话下运行的所有命令。
我的目标是密切关注管理员在做什么。
例子
如果用户这样做:
alexis$ sudo visudo # this is logged
alexis$ sudo su # this is logged
root# visudo # this isn't logged since it's run under root
该命令visudo然后su被记录为由用户启动alexis但使用 root 执行。尽管如此,以下所有命令都不会被记录,因为它们在 root shell 中以 root 身份运行。
11 月 1 日13:28:29 3020m sudo[6906]:亚历克西斯 :TTY=pts/0;PWD=/家/亚历克西斯;用户=根;命令=/bin/su
简而言之,我不希望用户(轮子中的管理员)能够切换到 root shell。如果有人想运行 root shell,他/她必须知道 root 的密码。
这是不可能的——请读到最后。如果用户具有完全的 sudo 访问权限,他们总是可以使用
sudo -i -u root、或编写自己的脚本/程序,这些脚本/程序将使用一些命令来获得完全的 shell 访问权限sudo /usr/bin/bash。sudo /usr/bin/{ANY_OTHER_SHELL}这是微不足道的。他们还可以恢复您所做的任何配置更改等。您可能会通过将默认根 shell 更改为/sbin/nologin.但是任何高级用户都可以通过 sudo 使用“裸”bash 调用:
所以模糊访问
/usr/sbin/nologin不是很有效。您还可以向 bash 或任何其他 shell 配置添加一些脚本,以检查用户是否
root会打印类似的消息Please use sudo并注销。但是再一次,高级用户将能够使用--norc和--noprofile/或将他们自己的配置指向 bash 之类的东西。总结一下——据我所知,这是不可能的。我什至在使用通常只是守护进程的用户(如 httpd)时检查是否有一些例外情况[例如,使用 PAM]。但是httpd安装后你也可以使用sudo -u apache /usr/bin/bash. 也许有一些基于 PAM 的解决方案,但是使用 google-fu,我无法找到它们。这也很困难,因为您有兴趣禁用交互式访问。在另一种情况下(完全禁用对 root 的访问),您将使系统变砖,并且您必须在恢复模式下修复它。但是有一个您可能更感兴趣的解决方案 - 终端日志记录。
您想了解终端历史,而不是完全限制访问。同时,您应该知道具有完全管理员访问权限的用户可以删除他们的日志 - 因此以防万一,您应该使用 rsyslog 或其他日志记录解决方案将日志放到不同的服务器上。
因为您使用的是基于 RHEL 的发行版 - 您可能会阅读以下内容。 https://www.redhat.com/sysadmin/terminal-logging
将更改还原到 PAM。你不需要它们。
相反,使用
visudo编辑文件/etc/sudoers并注释掉以%wheel和/或开头的行%sudo。这将停止允许这些组中的用户使用sudo.在写出更改之前,您应该为自己添加一行。否则,请确保您拥有有效的 root 密码(对于
su没有sudo)或其他一些sudo用于获得 root 权限的方法!