En mi organización para que a nadie a ir a cualquier servidor Unix que tienen que pasar por "SERVIDOR A" y de acceso como a sí mismos.

Entonces las personas son libres de ir enywhere que por favor.

Por ejemplo:

SERVIDOR A, como a sí mismo en loggs
SERVIDOR telnets a B, en loggs como invitado
SERVIDOR telnets a C, loggs en el sistema como root
telnets a un SERVIDOR, loggs en el sistema como root
SERVIDOR telnets a D, como en loggs usuario
telnets a SERVIDOR Y, loggs en el sistema como root

Cuando ejecuto "quién" en "SERVIDOR Y" veo 20 raíces conectado

Quiero ser capaz de rastrear 1 especial de nuevo a raíz SERVIDOR A, donde se registra a sí mismo como

Gracias por ayudar a todos y sugerencias.

James

Raíz de acceso son generalmente considerados como una de las principales no-no, por la misma razón que en su estado post. Es mucho tiempo ya veces difícil de determinar quién ha iniciado la sesión como "root" en un momento dado, sobre todo cuando 20 o más personas tienen acceso a la raíz de su casillas. Usted puede ser capaz de ordenar que fuera, pero su no va a ser divertido.

La manera más simple de resolver su principal problema es a fin de inhabilitar la raíz y la fuerza de acceso a los usuarios utilizar su o sudo. Suponiendo que todos necesitamos acceso de root (dudoso, pero es posible). Cuando se necesita acceso de root para más de un comando su deja un mensaje en el registro del sistema indicando el usuario que su'd y la terminal lo hicieron a partir del.

Olvídese de las raíces, lo que si tengo 20 'usuario' cuenta en la caja.
Por ejemplo:

gfadm pts / 0 Feb 12 08:38 (apdv1-26)
gfadm pts / 7 febrero 12 15:32 (apdv1-26)
raíz pts / 1 febrero 12 14:10 (apdv1-26)
gfadm pts / 4 febrero 12 11:15 (gfbtap1)
gfadm pts / 5 febrero 12 14:44 (gfbtap4)
raíz pts/16 enero 25 12:38 (apdv1-26)
gfadm pts/12 febrero 8 08:44 (apdv1-26)

y estoy interesado en el último 'gfadm' en pts/12

¿Cómo puedo encontrar nuestro dónde provienen de él y lo que se ha iniciado sesión como?

¡Gracias!

Puede haber una manera más fácil de hacer esto ... pero así es como me gustaría hacerlo.
Último uso para encontrar la sede del usuario en cuestión se registra a partir de las. Luego vaya a la caja y el uso "ps" para determinar quién es telnetting a la caja en cuestión. Si hay más de una persona, El BOFH forma sería la de matar a cada proceso hasta que el usuario en cuestión desaparece misteriosamente de la máquina objetivo, pero probablemente no quiere hacerlo. Usted probablemente puede usar un poco de sentido común y de acceso, etc veces de adivinar. Repita este proceso hasta llegar a la máquina A y el verdadero nombre de usuario.

Si el usuario ha cerrado la sesión se hace más difícil.

Muchas gracias por su respuesta.

Estaba pensando en hacer exactamente lo que propuso, pero se preguntaba si hay una forma más fácil de hacerlo.

Tiene que haber.

Si no - vamos a escribir.

En serio hay un montón de personas muy inteligentes en esta placa, permite que esto ocurra

¿Qué te parece?

SI NADIE más tiene para ofrecer otra solución, por favor hable ARRIBA

Desde su anuncio que desee realizar el seguimiento de los usuarios que inician sesión en el sistema como root y lo que están haciendo.

Forma más fácil es bloquear la raíz de telneting a partir de las conexiones remotas. Fuerza de los usuarios para conectarse a sí mismos y, a continuación, como "su" a root. A continuación, puede registrar todos su intentos (con éxito y sin éxito) y realizar un seguimiento de la gente hacia atrás a través de los servidores.

Seguridad básica regla es para permitir únicamente la raíz a la conexión de la consola de terminal, situados físicamente en el servidor.

Son sus personas en el primer registro de servidor UNIX desde una PC?
Lo que hacemos es asignar a cada PC de un ID exclusivo. Podemos rastrear el ID de inicio de sesión a través de la ID de PC que aparece en el dedo comando.

Además, nuestro sistema de / usr / var / adm / syslog.dated archivos .. que rastrear todos los inicios de sesión y la raíz del dispositivo que lo que viene de. Usted puede entonces localizar el dispositivo.


Espero que esta ayuda