ต้องการเทคนิคในการบีบบังคับ sysadmins เพื่อบันทึกเหตุผลในการเข้าถึงเซิร์ฟเวอร์ prod

บริษัท ของฉันต้องการให้ทุกครั้งที่ผู้ใช้ลงชื่อเข้าใช้เซิร์ฟเวอร์การผลิตด้วยเหตุผลที่บุคคลนั้นเข้าสู่ระบบและการเปลี่ยนแปลงที่ผู้ใช้ตั้งใจจะต้องเข้าสู่ระบบ ทีมของฉันต้องการทำสิ่งนี้ แต่ลืมได้ง่าย ฉันต้องการช่วยให้พวกเขาจำได้ ฉันคิดว่า motd แต่ต้องการบางสิ่งบางอย่างที่แข็งแกร่งขึ้นเล็กน้อย

ความคิดแรกของฉันคือเปลี่ยนเชลล์ของผู้ใช้เป็นสคริปต์ที่ทำสิ่งที่ต้องการ

vim /logs/logindate.txt 
bash -l

มีเทคนิคมาตรฐานที่ดีกว่าหรือมากกว่าหรือไม่

หมายเหตุ: แนวคิดคือผู้ใช้เหล่านี้คือ sysadmins และต้องการสร้างรายการบันทึกโดยไม่ทำลายระบบ - พวกเขามักลืมทำเช่นนั้นบ่อยๆ ดังนั้นหากพวกเขาสามารถ ctrl-c ได้ดี ... เรากำลังสมมติว่าพวกเขาจะไม่

ดูที่pam_exec.so คุณสามารถเรียกใช้สคริปต์เมื่อเข้าสู่ระบบในอินเทอร์เฟซเซสชันของระบบการรับรองความถูกต้องของ PAM สคริปต์ทำงานเป็นรูทก่อนที่ผู้ใช้จะได้รับเชลล์ดังนั้นจึงอาจไม่สามารถบันทึกอินพุตได้read? คุณสามารถลองและใช้readเพื่อรับเหตุผลจากผู้ใช้และบันทึกลงใน syslog ด้วยloggerคำสั่ง (ฉันละไว้ด้านล่าง แต่คุณสามารถดักจับ CTRL + C เพื่อป้องกันไม่ให้ใครออกโดยไม่มีเหตุผล) $ PAM_USER จะถูกตั้งค่าเป็นบุคคลที่ลงชื่อเข้าใช้ดังนั้นคุณสามารถรวมไว้ในคำสั่งตัวบันทึก

ตัวอย่าง:

ที่ด้านบนสุดของเซสชันใน /etc/pam.d/system-auth:

session required pam_exec.so /usr/local/sbin/getreason

และ / usr / local / sbin / getreason:

#!/bin/bash
read -p "Reason for logging into production: " reason
logger -t $(basename $0) "$PAM_USER logged in with reason: ${reason}"

ขอโทษถ้าสิ่งนี้ไม่ได้ผลอย่างสมบูรณ์แบบ ฉันไม่ได้ทดสอบ แต่เพิ่งทำสิ่งที่คล้ายกัน (ไม่ได้บันทึกอินพุต)

แก้ไข:ยิ่งฉันคิดถึงสิ่งนี้มากเท่าไรฉันก็ไม่คิดว่ามันจะใช้ได้เพราะเวทีที่มันทำงานอยู่ เช่นเดียวกับgetreasonสคริปต์ควรจะทำงานหลังจากที่คุณแทนที่$PAM_USERด้วยแต่มันอาจจะต้องมีการดำเนินการใน$(logname) /etc/profile(ทดสอบเชลล์เชิงโต้ตอบก่อน)

ฉันจะปล่อยให้ทั้งสองตัวเลือกขึ้นมาเพราะอย่างน้อยก็ควรทำให้คุณคิดไปในทิศทางที่ถูกต้องหากไม่มีอะไรอื่น

ทางเลือกคือโซลูชันการจัดการบัญชีที่มีสิทธิพิเศษแทนที่จะให้สิทธิ์การเข้าถึงแก่ผู้ดูแลระบบด้วยบัญชีของตนเองบัญชีผู้ดูแลระบบจะถูกควบคุมโดยบุคคลที่สามและต้องปฏิบัติตามขั้นตอนบังคับก่อนที่ผู้ดูแลระบบจะสามารถเข้าถึงระบบการผลิตhttp: // en m.wikipedia.org/wiki/Privileged_Identity_Management

อีกวิธีหนึ่งในการทำให้สิ่งนี้บรรลุผลคือมีศูนย์การบันทึกข้อมูลส่วนกลางของคุณ (ฉันคิดว่า Logstash แต่คุณสามารถทำสิ่งนี้ได้ด้วยวิธีอื่น) นำ auth.log ของคุณไปใช้กับระบบการผลิตป้อนข้อมูลลงในแอป .

วิธีที่ฉันเห็นสิ่งนี้ถูกนำไปใช้กับลูกค้าที่ใช้ HP Server Automation ^*คือพวกเขาพึ่งพาการบันทึกโดยกำเนิดของเครื่องมือด้วยการรวมขั้นตอนการอนุมัติ (ฉันเคยไปยังลูกค้าหลายรายที่ไม่มี sudo หรือ root priv ยกเว้นใน Dev )

การอนุมัติสามารถทำได้ผ่านทาง Remedy และ Operations Orchestration หรือการเข้าสู่ระบบของผู้ดูแลระบบภายใน SA เป็นต้น

สิ่งที่กล่าวมาทั้งหมดนอกเหนือจากเครื่องมืออัตโนมัติสำหรับองค์กรและเครื่องมือในการจัดการ @ Aaron Copleyเป็นคำตอบที่ยอดเยี่ยม

^*ฉันเป็นรุ่นพี่ HPSA, HPOO และด้านอื่น ๆ ของที่ปรึกษาชุดระบบอัตโนมัติของ HP

ในขณะที่หาวิธีแก้ปัญหาฉันอ่านคำตอบและความคิดของ Aaron Copley: "จะเกิดอะไรขึ้นถ้าฉันเปลี่ยนเปลือกผู้ใช้ของฉัน"

ฉันทำมันสำเร็จบนเครื่อง Ubuntu 14.04 ของฉัน:

# usermod -s /usr/bin/loginScript username

ในสคริปต์ของคุณคุณสามารถบันทึกเหตุผลของการเข้าสู่ระบบเพียง ฉันเป็นเช่นนี้

#!/bin/bash
read -p "Tell me why you logged in:" reason
echo "You told me: $reason" >> /var/log/reasonLogin.log
/bin/bash

สิ่งหนึ่งที่คุณควรทราบ: สคริปต์ไม่ได้ทำงานในฐานะรูทดังนั้นคุณอาจต้องให้สิทธิ์แก่ผู้ใช้ในการทำงานนี้