- 论坛徽章:
- 2
|
大家好,请教1个问题。
背景如下:
当前有5个支持用户user1,user2.....user5,同时公用1个账号 userCom 来进行协同工作(定位,软件安装,同步到其它数据中心,环境管理等)。
他们用自己的账号(user1,user2.....user5)通过 ssh userCom@host,或者 ssh host -l userCom,或者 su userCom 等多种方式来切换到 userCom进行工作。
假如某天,user5 在 host5 机器 的Terminal,执行 ssh userCom@host 后, 使用公用账号 不小心删除了生产环境某个目录或文件,造成了比较恶劣的影响,且5个人里面,没有人承认错误,不敢说。
能否 通过userCom 的 历史操作记录,查出以下信息:
1. who: user5 做的操作
2. where: user5 是从 host5 发起ssh操作,而不是 host1,host2,.....host10等机器
3. when: user5 是从 host5 发起ssh操作 的时间
4. How: 是执行了 ssh userCom@host 来切换公用账号的。 而不是ssh host -l userCom,或者 su userCom 等其它方式。
5. what: 这个应该简单一点,或许可以从 userCom 的 ~/.history 找到 rm 相关操作来确认
这应该是一个很大的话题,应该也比较难,关于监控特殊账号,且获取它的上一步信息(who,where,when,How,what)。
参考了 http://zhidao.baidu.com/link?url=BbF4lXI_l8NpUkGJSWzavuJ3id20CPZWOBRb3vgMv24OGnMNMzTuJegj8msnrFdDIfQ_ie9ZJzrZomJtdi5xRHY48F8mc8nAqCGTntkc5mW
这里面提到的比较粗,且适用场景有限:
1. 只能适用于监控 su userCom 这种方式,找出上一步 的 who信息。
对于 ssh userCom@host,或者 ssh host -l userCom,找不出 who 信息
2. 无法找出 where,when,How 信息。
大家一起讨论下啊。
有没有 监控这方面的相关经验呢?
|
|
免费注册
发表于 2016-09-30 22:49