Re: [работа] [linux] полный аудит юзверей

Тащем-та, в mc сохраняется хистори. Удали mc/поставь к нему вырвиглазную цветовую схему. Запрети доступ для пользователя root (я удивлен, что на серваки вообще разрешен доступ руту). Договоритесь делать на серваках либо общий лог, либо при правке каких-либо конфигов в комментах указывать ник того, кто внес изменение, когда, и нахрена он его сделал.

Re: [работа] [linux] полный аудит юзверей

Если он невменяем и ведет себя по принципу "Я - начальник, ты - дурак", то смотри в сторону auditd, хотя если он хитер, то может и логи менять.

Re: [работа] [linux] полный аудит юзверей

Логи менять у него компетенции не хватит. Мне тут говорили, что есть способ вести в syslog полный лог действий пользователей. Даже с mc. Но не могу найти подробностей пока...

>>auditd
Вот это сейчас почитаю.

Re: [работа] [linux] полный аудит юзверей

скажи ему при его начальстве, что ты ответственный за сервер и боишься что он чо-то может сломать, что приведет к тому, что через наш сервер взломают банк а после этого на фирму и в частности на тебя повесят ответственность всю. в результате деятельности я рискую сесть в тюрьму. Только скажи это в присутствии его начальства. Ну типа мол замначальника является неквалифицированным спецом. ченнить такого типа. Или телегу накатай. а то реально этот умник поставит на ядро патч, который откроит бекддор, через который будут хачить банки - а все палки на тебя повесят, потому что ты допустил в обход должностной инструкции.

Re: [работа] [linux] полный аудит юзверей

а самое лучшее напиши завявление и возьми копию у секретаря заверенную со штампом предприятия и номером входящим, что бумага принята к делопроизводствув компании за номером 234. если что случится - у тебя будет бумага защитная от органов. Может этот мужик от налоговой информацию прячет/уничтожает - а всё в результате повесят на тебя

Re: [работа] [linux] полный аудит юзверей

Поздно немного. Уже несколько минут назад с начальником пересрался. Он в итоге мне выговор накатал ("за систематическое неисполнение своих обязанностей"), сука. Все потому, что я немного поправил notification.c у нагиоса и отказался ему расписывать, что я там и где правил! Он не программе, нихера в этом не понимает, вобщем, некомпетентая зараза.

Выговор я не подписал. Сегодня позже пойду к генеральному обсуждать.

Re: [работа] [linux] полный аудит юзверей

чето он там какие-то темные делишки обделывает, советую с начальством обговорить... входит это в его обязанности - не знаю, зависит от устава.

Re: [работа] [linux] полный аудит юзверей

>Поздно немного. Уже несколько минут назад с начальником пересрался. Он в итоге мне выговор накатал ("за систематическое неисполнение своих обязанностей"), сука. Все потому, что я немного поправил notification.c у нагиоса и отказался ему расписывать, что я там и где правил! Он не программе, нихера в этом не понимает, вобщем, некомпетентая зараза.
Странная у тебя контора какая-то. Начальство под рутом по серверам шароебится, занимаясь невесть чем. Если ему не нравится быть начальником, то шел бы в сисадмины и до тошноты бы ковырялся. А если он некомпетентен, то на курсы его нужно отправить, либо на работе эти курсы ему организовать.

Re: [работа] [linux] полный аудит юзверей

меня вот что смущает: а откуда у него рутовый пароль?

Re: [работа] [linux] полный аудит юзверей

Начальник - он типа одновременно и зам.директора и начальник тех.отдела. Юникс немножко знает, на уровне mc, /etc/init.d/demon stop и проч. Не больше. Ну и еще немного конифиги смотреть умеет и кой-какую инфу гуглить. При этом до усеру может спорить и спрашивать "я тебе давал 2 новых харда в сервер, где они там?", когда я его громко посылаю в fidsk -l

root'овый пароль требует он. С генеральным по этому вопросу тоже буду разговаривать. Тут 2 варианта теперь будет - либо кроме меня никто не знает (и пароль в конвертик и в сейф генерального), либо подпись бумажки, что я ответственности не несу, в случае чего. И то, остальным исключительно гостевые учетки с парой простейших строчек в sudoers (да и они им там нах не нужны, скорее всего, обойдутся).

Что самое интересное, заебал этот пряник не только меня. С ним давно не общается мой напарник (админ по части оборудования), от него нередко лила слезы бухгалтерша (он с нее требовал ипанутые вещи, о которых ранее вообще не упоминал). Да его терпеть не может даже родная дочь (первокурсница, он на нее не так давно серьезно хотел повесить gps'ку :) )! И вообще, он хронический неврастеник.

Но вот увольнять его никто не будет, поскольку он ценный сотрудник, который единственный отлично разбирается со всеми делами и устройствами нашего ключевого клиента (самого главного и прибыльного).

Но работать с ним я все-равно не собираюсь. Все приказы хочу получать впредь не от него, а от генерального напрямую. Этому дебилу надо - пусть не ко мне, а к генеральному идет.

Re: [работа] [linux] полный аудит юзверей

> "за систематическое неисполнение своих обязанностей"
Документ, в котором перечислены твои обязанности существует?

Re: [работа] [linux] полный аудит юзверей

>>"за систематическое неисполнение своих обязанностей"
Забыл написать. Да, при устройстве на работу и по сей день мне никто не предоставлял никаких перечней моих обязанностей. Поэтому эта бумажка имеет юр.силу не больше туалетной использованной. Более того, по ТК он обязан с меня сперва получить объяснительную и на основании этой объяснительной писать выговор. Ну, короче, вы поняли.

Re: [работа] [linux] полный аудит юзверей

Тут еще есть прикол :)

Вообще, мне надо было донастроить нагиос для мониторинга работы серваков и всех их демонов. И нотификацию по email. Что я и сделал. Но, учитывая, что на каждом сервере бывает по 10-15 важных демонов, я банально забыл мониторить bind'ы на ns1 и ns2. Но это не проблема, учитывая, что за все время работы этих серверов (я их сам настраивал и сам проверял) bind ни там ни там не падал ниразу!

Для проверки нотификации я использовал один сервак, который в серверной вырублен (на нем нет ничего важного) и не подымал, пока не убедился, что все работает.

Что делает этот пряник? Для проверки, как я там все настроил, он, не предупредив никого, тупо на одном серваке вырубает bind9, а на втором - apache2. bind9 - хер с ним, он на вторичном вырубил, а вот apache2 обслуживает несколько сайтов, в т.ч. и наш корпоративный!! Я заметил тут же и включил (из-за этого, собственно и пост начался). Down bind'а я не заметил (нагиос не мониторил) и он лежал около 6 часов, пока мне об этом не сказал сам начальник.

Я бы за такое уволил бы сразу, но гендир не я.

Re: [работа] [linux] полный аудит юзверей

Поменяй везде пароль рута, а ему скажешь только после письменного разрешения генерального.

Re: [работа] [linux] полный аудит юзверей

не вариант. в любом случае, сперва с генеральным буду обсуждать. Тем более, что через минут 25-30 он подъедет.

Re: [работа] [linux] полный аудит юзверей

Напиши скриптик, который после входа под рутом через ssh будет перекидывать автоматом человека на юзера. Юзеру сделай внешне полную похожесть терминала (цвета, строка итд). Как-нибудь через PATH-и запрети exit, чтобы он не мог выйти обратно, если вдруг догадается. Если начнёт спрашивать "почему у меня ничего не работает???!!!111" - отвечай что "я хз, у меня всё ок, вы наверное не умеете".

Сам логинься под юзером и делай судо.

Re: [работа] [linux] полный аудит юзверей

Ага, тогда начнутся вопросы, почему не работает, исправляй. :)

Re: [работа] [linux] полный аудит юзверей

>Ага, тогда начнутся вопросы, почему не работает, исправляй. :)
Что не работает? Сервер работает, у тебя всё работает:)

Re: [работа] [linux] полный аудит юзверей

Не.. так не получится...

Какой самый неудобный shell существует? :)

Правда, он слишком mc любит, так на шелл надеяться не стоит

Re: [работа] [linux] полный аудит юзверей

>Какой самый неудобный shell существует? :)
Если человек очень хочет - ему никакой шелл не помешает:)

Тут действительно, можно решать только административными методами.

Re: [работа] [linux] полный аудит юзверей

а зачем на сервере mc? тыбы ещё X-ы поставил. Я по работе часто Korn Shell использую. Там нужно знать комбинации что бы нормально работать, а новичкам довольно проблематично, но зато скрипты от bash работают практически всегда, если чистый /bin/sh то стопроцентно совместимо. Есть ещё минималистичиский ash

Re: [работа] [linux] полный аудит юзверей

> Да, при устройстве на работу и по сей день мне никто не предоставлял никаких перечней моих обязанностей. Поэтому эта бумажка имеет юр.силу не больше туалетной использованной. Более того, по ТК он обязан с меня сперва получить объяснительную и на основании этой объяснительной писать выговор. Ну, короче, вы поняли
Надо, наверное, с ним уточнить вопрос какие именно служебные обязанности ты не исполняешь и с чего он взял, что ты их должен исполнять. Пока что ты даже не знаешь о чём объяснительную писать - ничего не нарушал же :)

С другой стороны вроде существуют какие-то базовые формулировки что должен человек на своей должности. Чем-то же юристы пользуются в таких как у тебя случаях, когда явно в договоре не прописаны конкретные обязанности работников.. Может считается, что ты как одмин отвечаешь за выработку, докуметирование и реализацию политик безопасности предприятия, в частности схемы обращения рутового пароля. А ты ничего не вырабртал и не задокуметировал в связи с чем возникают такие вот эксцессы в которых тебе самому не на что сослаться. Так бы сказал - вот согласно распоряжению сисадмина в лице меня, я не имею права выдать вам пароль, гражданин хороший. Если хотите внести изменения в полиси - пишите служебку, я рассмотрю ваши обоснования и приму решение (отрицательно, разумеется) - и всё, и не было бы ничего.

Re: [работа] [linux] полный аудит юзверей

>Правда, он слишком mc любит, так на шелл надеяться не стоит
а на что тебе чрут дан? закинь его в песочницу, пусть играется)))

Re: [работа] [linux] полный аудит юзверей

> я банально забыл мониторить bind'ы на ns1 и ns2
> Что делает этот пряник? Для проверки, как я там все настроил, он, не предупредив никого, тупо на одном серваке вырубает bind9, а на втором - apache2. bind9 - хер с ним, он на вторичном вырубил, а вот apache2 обслуживает несколько сайтов, в т.ч. и наш корпоративный!! Я заметил тут же и включил (из-за этого, собственно и пост начался). Down bind'а я не заметил (нагиос не мониторил) и он лежал около 6 часов, пока мне об этом не сказал сам начальник.
> Я бы за такое уволил бы сразу
Ну я думаю, что увольнять за пару забытых биндов всё-таки жестковато, а вот выговор - самое то.

P.S.

Кстати, тест правильный, мну одобряет. Зря ты на мужика взъелся, помирись просто.

Re: [работа] [linux] полный аудит юзверей

кейлоггер же, их навалом, и периодичные, лучше по каждой клавише, снимки экрана. Ограничения ничего не дадут, хотя их можно сделать даже для рута через какой-нибудь selinux, только скандал будет.

Re: [работа] [linux] полный аудит юзверей

lush самый лучший шелл, самый удобный же. Но тем, кто привык к корявостям в нём будет тяжеловато.

Re: [работа] [linux] полный аудит юзверей

>>Ну я думаю, что увольнять за пару забытых биндов всё-таки жестковато, а вот выговор - самое то.
Не за биндов, а за такие ибанутые проверки. У меня на такой случай сервак отдельный есть, которым все проверить можно. А вырубать для проверки апач, который обслуживает кучу сайтов клиентов (которые за его работу нам деньги платят) и наш корпоративный в частности (там вся инфа для абонентов и все тарифы для потенциальных и не очень клиентов) - это нормально? Вот прикол, положил веб-сервер, чтобы проверить мою реакцию :)

Кстати. Дождался я таки гендиректора и переговорил с ним по поводу этого упыря. Завтра будем разговаривать втроем. Вопрос рутового доступа я поставил сразу - либо только мне (или некому вообще), либо я за сервера ответственности не несу. Мне надоело уже время от времени на серваке чудом находить такие ошибки, которые я не могу допустить в принципе - например не так давно "чудом" в /etc/networks/interfaces в дебиане вместо "auto" стояло "uto", учитывая, что я больше года назад при установке задал все параметры интерфейсов и вообще даже не помнил про этот конфиг. И таких подобных куча.

Re: [работа] [linux] полный аудит юзверей

> У меня на такой случай сервак отдельный есть, которым все проверить можно. А вырубать для проверки апач, который обслуживает кучу сайтов клиентов (которые за его работу нам деньги платят) и наш корпоративный в частности (там вся инфа для абонентов и все тарифы для потенциальных и не очень клиентов) - это нормально?
Вообще нормально иметь не какой-то там сервак, а точную копию продакшена. Только тогда можно быть насколько-нибудь уверенным что в случае проблемы система поведёт себя так же как и в тестах на этой копии. Плюс ещё одну копию для бэкапа - если основная система выходит из строя, то вся работа просто переключается на дублирующую систему. Плюс копии для разработчиков и тестеров их поделок. Пока этого нет, тестировать можно только симуляцией несчастного случая как он и сделал. В любом случае за свой поступок он сам и ответит.

> Завтра будем разговаривать втроем. Вопрос рутового доступа я поставил сразу - либо только мне (или некому вообще), либо я за сервера ответственности не несу. Мне надоело уже время от времени на серваке чудом находить такие ошибки, которые я не могу допустить в принципе - например не так давно "чудом" в /etc/networks/interfaces в дебиане вместо "auto" стояло "uto", учитывая, что я больше года назад при установке задал все параметры интерфейсов и вообще даже не помнил про этот конфиг. И таких подобных куча.
А упырь он как техдиректор за тебя отвечает, как минимум тебе перед завтрашним разговором надо подумать как он сможет контролировать качество твоей работы, а так же в случае чего принимать меры если что-то случилось, а ты недоступен. Вот потребуется ему ночью что-то срочно поменять, допустим. Что он должен делать - звонить генеральному, брать у него пароль, чего-то чинить, как-то так? А вдруг чего-то случится, он накосячит, всё наебнётся - ты уверен что на тебя не свалят всё равно? Ну например чтобы тебя среди ночи на работу дёрнуть исправлять проблему, или чтобы не подставлять этого ценного для бизнеса упыря. А он ценнее тебя - ведь он способен удовлетворять клиентов, а ты несёшь вторичные функции.

Re: [работа] [linux] полный аудит юзверей

1)сменить имя суперпользователя и дать имя root обычному пользователю

2)man sandbox

3)можно поднять виртуальную машину с набором апачей, биндов и прочих серверной ерунды, которая стоит на реальном сервере, пусть играется

Re: [работа] [linux] полный аудит юзверей

... и постепенно свести его с ума :)))

Re: [работа] [linux] полный аудит юзверей

Он не такой умный, как ты тут описал. И компания у нас гораздо меньше, чем ты думаешь. Ниразу не пришлось что-то делать ночью. А учитывая, что практически все наши абоненты - юрики, ночами никогда никого не бывает. Даже если какая проблема - все решается исключительно утром.

Странно, но я, почему-то, ниразу его не спрашивал, нахера ему вообще рутовый пароль и права... Завтра спрошу, правда, интересно.

А как контроллировать? Есть такая фраза "если у вас, в плане IT, все работает, а админ ничего не делает - радуйтесь.

Re: [работа] [linux] полный аудит юзверей

> все работает, а админ ничего не делает - радуйтесь.
Не надо таких фраз говорить начальству. Заменяй "админ ничего не делает" на что-нибудь типа "админу удаётся урвать несколько часов для анализа результатов мониторинга системы и оптимизации её функционирования".. Начальство на всякий случай должно пребывать в уверенности что ты много работаешь.

> Странно, но я, почему-то, ниразу его не спрашивал, нахера ему вообще рутовый пароль и права... Завтра спрошу, правда, интересно
Вот именно, сначала нужно понять что контрагенту надо, а потом совместно придумать и принять выгодное тебе решение его проблемы. А скандалить с привлечением начальства - ну разве что не удалось достичь консенсуса мирным путём..

Re: [работа] [linux] полный аудит юзверей

>>Не надо таких фраз говорить начальству
Да я и не собирался, это я говорю исключительно здесь :)

Re: [работа] [linux] полный аудит юзверей

Вообще думать про это забудь о том, что админ может ничего не делать :)

Лучше придумай как ты по горло занят улучшением системы и какой профит это приносит конторе чтобы было понятно как это невыгодно тратить твоё время на обсуждение каких-то там рутовых паролей, не говоря уже о поиске и исправлении ошибок, которые потенциально могут быть внесены упырём.