The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Sudoers"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Авторизация и аутентификация)
Изначальное сообщение [ Отслеживать ]

"Sudoers"  +/
Сообщение от Shinma (ok) on 17-Фев-15, 07:19 
Что я делаю:
ввожу команду  проверки NTP:
sudo ntpdate -d NTP_name

Команда делает запись в syslog вида:
Feb 17 08:41:00 *** sudo: user_name_Vuasiya : TTY=unknown ; PWD=*** ; USER=root ; COMMAND=/usr/sbin/ntpdate -d IP***

Проблема: Эту команду я использую раз в минуту на 4-6 серверов NTP. В итоге в syslog попадает ОГРОМНАЯ куча спама.

Вопрос: я установил sudo 1.8.6p3, т.к. вычитал что в этой версии есть замечательные опции:
NOLOG_OUTPUT

Добавил в sudo:
sudo visudo
ADMIN ALL=(root) NOLOG_OUTPUT:NOPASSWD: /usr/sbin/ntpdate -d*

Но системе пофиг на NOLOG_OUTPUT, как и вообще на спецификации: LOG_INPUT, NOLOG_INPUT, LOG_OUTPUT, NOLOG_OUTPUT.
спам в syslog не прекратился.
Я сделал решение не удовлетворяющее меня с точки зрения безопасности:
Defaults:user_name_Vuasiya !syslog
Но тогда все что делает user_name_Vuasiya в sudo не пишется в syslog. А мне надо чтобы только одна команда не писалась. Кто знает решение?

Отрывок MAN:
User specification
      User_Spec ::= User_List Host_List '=' Cmnd_Spec_List \
                    (':' Host_List '=' Cmnd_Spec_List)*

      Cmnd_Spec_List ::= Cmnd_Spec |
                         Cmnd_Spec ',' Cmnd_Spec_List

      Cmnd_Spec ::= Runas_Spec? Tag_Spec* Cmnd

      Runas_Spec ::= '(' Runas_List? (':' Runas_List)? ')'

      Tag_Spec ::= ('NOPASSWD:' | 'PASSWD:' | 'NOEXEC:' | 'EXEC:' |
                    'SETENV:' | 'NOSETENV:' | 'LOG_INPUT:' | 'NOLOG_INPUT:' |
                    'LOG_OUTPUT:' | 'NOLOG_OUTPUT:')
***********************************
sudoers also supports logging a command's input and output streams.
      I/O logging is not on by default but can be enabled using the
      log_input and log_output Defaults flags as well as the LOG_INPUT and
      LOG_OUTPUT command tags.
***********************************

LOG_INPUT and NOLOG_INPUT

      These tags override the value of the log_input option on a per-command
      basis.  For more information, see the description of log_input in the
      SUDOERS OPTIONS section below.

      LOG_OUTPUT and NOLOG_OUTPUT

      These tags override the value of the log_output option on a per-
      command basis.  For more information, see the description of
      log_output in the SUDOERS OPTIONS section below.
*************************************
      log_input         If set, sudo will run the command in a pseudo tty
                        and log all user input.  If the standard input is
                        not connected to the user's tty, due to I/O
                        redirection or because the command is part of a
                        pipeline, that input is also captured and stored in
                        a separate log file.

                        Input is logged to the directory specified by the
                        iolog_dir option (/var/adm/sudo-io by default) using
                        a unique session ID that is included in the normal
                        sudo log line, prefixed with ``TSID=''.  The
                        iolog_file option may be used to control the format
                        of the session ID.

                        Note that user input may contain sensitive
                        information such as passwords (even if they are not
                        echoed to the screen), which will be stored in the
                        log file unencrypted.  In most cases, logging the
                        command output via log_output is all that is required.

      log_output        If set, sudo will run the command in a pseudo tty
                        and log all output that is sent to the screen,
                        similar to the script(1) command.  If the standard
                        output or standard error is not connected to the
                        user's tty, due to I/O redirection or because the
                        command is part of a pipeline, that output is also
                        captured and stored in separate log files.

                        Output is logged to the directory specified by the
                        iolog_dir option (/var/adm/sudo-io by default) using
                        a unique session ID that is included in the normal
                        sudo log line, prefixed with ``TSID=''.  The
                        iolog_file option may be used to control the format
                        of the session ID.

                        Output logs may be viewed with the sudoreplay(1m)
                        utility, which can also be used to list or search
                        the available logs.

Ответить | Правка | Cообщить модератору

Оглавление

  • Sudoers, Shinma, 10:05 , 17-Фев-15, (1)  
    • Sudoers, Аноним, 12:00 , 17-Фев-15, (2)  
      • Sudoers, Shinma, 12:48 , 17-Фев-15, (3)  

Сообщения по теме [Сортировка по времени | RSS]


1. "Sudoers"  +/
Сообщение от Shinma (ok) on 17-Фев-15, 10:05 
Я не правильно понял:'LOG_INPUT:' | 'NOLOG_INPUT:' | 'LOG_OUTPUT:' | 'NOLOG_OUTPUT:'
Я думал, что эти опции могут отключить вывод в сислог сообщение о том, что команда была использована таким-то пользователем. Но это не так. Она открывает/закрывает только вывод команды в сислог. Вопрос по поводу NOLOG_OUTPUT отпал. остался вопрос как сделать так, чтобы в сислог не писался спам о том, что пользователь набрал в шеле определенную команду:
sudo any_command. Все остальные команды примененные с использованием sudo от этого пользователя писались в сислог.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Sudoers"  +/
Сообщение от Аноним (??) on 17-Фев-15, 12:00 
> Я не правильно понял:'LOG_INPUT:' | 'NOLOG_INPUT:' | 'LOG_OUTPUT:' | 'NOLOG_OUTPUT:'
> Я думал, что эти опции могут отключить вывод в сислог сообщение о
> том, что команда была использована таким-то пользователем. Но это не так.
> Она открывает/закрывает только вывод команды в сислог. Вопрос по поводу NOLOG_OUTPUT
> отпал. остался вопрос как сделать так, чтобы в сислог не писался
> спам о том, что пользователь набрал в шеле определенную команду:
> sudo any_command. Все остальные команды примененные с использованием sudo от этого пользователя
> писались в сислог.

Cmnd_Alias SCRIPT = /usr/local/bin/myscript
Defaults!SCRIPT !syslog

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Sudoers"  +/
Сообщение от Shinma (ok) on 17-Фев-15, 12:48 
От спасибо помог, только не так немножко. Надо не мой скрипт лочить, а использование ntpdate. т.к. мой скрипт использует sudo ntpdate.
Еще раз спасибо.

Cmnd_Alias SCRIPT =  /usr/sbin/ntpdate
Defaults!SCRIPT !syslog

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру