Nella mia organizzazione, in modo a chiunque di andare a qualsiasi server Unix devono passare attraverso "SERVER A" e di accesso come se stessi.

Poi le persone sono libere di andare enywhere loro favore.

Ad esempio:

SERVER A, loggs come se stesso
telnets al server B, loggs come ospite
telnets al server C, loggs come root
telnets al server A, loggs come root
telnets al server D, loggs come utente
telnets al server Y, loggs come root

Quando eseguo 'che' a "Y SERVER" Vedo 20 radici login

Voglio essere in grado di rintracciare 1 root particolare indietro al server A, dove ha effettuato l'accesso come se stesso

Grazie per l'aiuto e tutti i suggerimenti.

James

Root login vengono generalmente considerati come una grande no-no, per la stessa ragione è stato il tuo post. E 'tempo e talvolta difficile stabilire chi effettuato l'accesso come "root" in un determinato momento, soprattutto quando 20 o più persone hanno accesso root al vostro box. Potreste essere in grado di affrontare la questione, ma la sua non sarà divertente.

Il modo semplice per risolvere il tuo problema principale è quello di disabilitare i login di root e costringono gli utenti a usare su o sudo. Supponendo che tutte le necessità di accesso di root (dubbia, ma possibile). Quando è necessario l'accesso come root per più di un comando su lascia un messaggio nel registro di sistema indicando l'utente che su'd e il terminale che ha fatto da.

Dimenticare le radici, cosa fare se ho 20 'utente' conto sulla scatola.
Ad esempio:

gfadm pts / 0 feb 12 08:38 (apdv1-26)
gfadm pts / 7 febbraio 12 15:32 (apdv1-26)
root pts / 1 febbraio 12 14:10 (apdv1-26)
gfadm pt / 4 febbraio 12 11:15 (gfbtap1)
gfadm pt / 5 feb 12 14:44 (gfbtap4)
root pts/16 gennaio 25 12:38 (apdv1-26)
gfadm pts/12 febbraio 8 08:44 (apdv1-26)

e mi sono interessato nel corso degli ultimi 'gfadm' a pts/12

Come faccio a trovare il nostro in cui egli proviene da lui e ciò che è stato effettuato l'accesso come?

Grazie!

Ci può essere un modo più facile di fare questo ... ma questo è il modo I'd do it.
Usa ultimo per trovare l'host l'utente in questione è effettuato l'accesso da. Poi vai alla casella e che l'uso 'ps' di determinare chi è telnetting nella casella in questione. Se non vi è più di una persona, il BOFH modo sarebbe quello di uccidere ogni processo fino a quando l'utente in questione scompare misteriosamente dalla macchina, ma probabilmente di cui vogliamo fare questo. È possibile utilizzare probabilmente un po 'di senso comune e di accesso volte ad indovinare ecc. Ripetere questo processo fino ad arrivare a una macchina e il vero nome utente.

Se l'utente è disconnesso da essa rende più difficile.

La ringrazio molto per la risposta.

Stavo pensando di fare esattamente ciò che lei ha suggerito, ma chiedo solo se c'è un modo più semplice per andare su di esso.

Ci deve essere.

Se non - Let's scrivere.

Seriamente ci sono un sacco di persone molto intelligenti su questo bordo, permette di realizzarlo

Che cosa ne pensi?

Se un altro utente ha da offrire un'altra soluzione, PLEASE SPEAK UP

Dal tuo post si desidera tenere traccia degli utenti che hanno l'accesso come root e ciò che stanno facendo.

Modo più semplice è quello di bloccare telneting da root da connessioni remote. Forza agli utenti di accedere come se stessi e poi "su" alla radice. È quindi possibile accedere su tutti i tentativi (di successo e un successo) e tenere traccia di persone in tutto il server indietro.

Sicurezza di base è di regola solo per consentire il login di root da console terminal situati fisicamente al server.

Sono il vostro popolo nella registrazione iniziale unix server da un PC?
Cosa facciamo, ogni PC è assegnare un ID univoco. Siamo in grado di tracciare la via di accesso id id PC che mostra il dito fino a comando.

Inoltre, il nostro sistema è / usr / var / adm / syslog.dated file .. che traccia tutti i login di root e quali dispositivi sono provenienti da. Si potrebbe quindi tracciare il dispositivo.


Hope this helps