sudo를 사용하여 사용자가 수행하는 작업을 기록하려고 합니다. 동시에 나는 정상적인 상황에서 그들의 비밀번호를 기록하고 싶지 않습니다. 따라서 log_output을 사용하는 것은 좋은 접근 방식인 것처럼 보이며 기본적으로 단 한 가지 문제만 제외하면 내가 원하는 대부분의 작업을 수행합니다.
다음과 같은 명령을 실행하면:
sudo mysqldump db_name | gzip > db_name.sql.gz
모든 명령 stdout이 stdout 파일의 log_output에 의해 캡처되기 때문에 로그 파일에 많은 데이터가 남게 됩니다.
기본적으로 나는 사용자가 무엇을 하는지에만 관심이 있고 일반적으로 로그 파일 자체나 ttyout에 있기 때문에 stdout 출력이 필요하지 않습니다. auth.log에는 위와 같은 한 줄 명령에 대한 충분한 정보가 있습니다.
sudo가 stdout 파일에 쓰는 것을 방지하는 방법을 알고 있습니까? 아니면 어떻게든 로깅을 다음과 같은 것으로 제한하는 것으로 충분할 수도 있습니다.
sudo su -
sudo /bin/bash
sudo -s
sudo -i
...
기본적으로 사용자가 쉘을 얻는 데 사용되는 모든 것입니다.
이는 100% 안전하고 변조 방지가 가능하다는 의미는 아닙니다. 사용자가 휴가 중에 무엇을 했는지, 무슨 일이 일어났는지 기억하지 못하는지 등을 확인할 수 있는 도구로서 더 중요합니다.
어떤 아이디어라도 감사드립니다.