Na minha organização, para que ninguém a ir a qualquer servidor Unix, eles têm de passar por "Server A" e login como eles.

Então, as pessoas são livres para ir enywhere eles por favor.

Por exemplo:

UM SERVIDOR, loggs como no próprio
telnets ao servidor B, em loggs como convidado
telnets ao servidor C, loggs como root
telnets ao servidor um, loggs como root
telnets ao servidor D, loggs em como o usuário
telnets ao servidor Y, loggs como root

quando eu corro 'quem', em "Servidor Y" Vejo raízes registrados 20 polegadas

Quero ser capaz de rastrear 1 particular de volta para o servidor raiz A, quando conectado como ele próprio

Obrigado pela ajuda e todas as sugestões.

James

Root logins são geralmente considerado como um importante não, não, pela mesma razão que você indicar no seu posto. Ela é morosa e, por vezes, difícil determinar quem efetuou login como "root" em um determinado tempo, especialmente quando 20 ou mais pessoas tenham acesso às suas caixas raiz. Você pode ser capaz de classificar-lo, mas a sua não vai ser divertido.

A maneira mais simples de resolver o seu principal problema é a raiz disallow logins e forçar os usuários a usar su ou sudo. Supondo que todos eles precisam acesso root (duvidosa, mas possível). Quando acesso root é necessária para mais de um comando su deixa uma mensagem no log do sistema indicando ao usuário que o terminal su'd e eles fizeram-lo.

Esqueça raízes, o que acontece se eu tenho 20 'user' conta sobre a caixa.
Por exemplo:

gfadm pts / 0 12 fev. 08:38 (apdv1-26)
gfadm pts / 7 fev 12 15:32 (apdv1-26)
root pts / 1 fev 12 14:10 (apdv1-26)
gfadm pts / 4 fev 12 11:15 (gfbtap1)
gfadm pts / 5 fev 12 14:44 (gfbtap4)
raiz pts/16 25 jan. 12:38 (apdv1-26)
gfadm pts/12 8 fev 08:44 (apdv1-26)

e estou interessado em o último 'gfadm' on pts/12

Como posso encontrar o nosso onde ele vem e que ele estava conectado como?

Obrigado!

Pode haver uma maneira mais fácil de fazer isso ... mas isso é como eu faço.
Utilize passado para encontrar o acolhimento do usuário em questão é registrada a partir de. Em seguida, vá para casa e que a utilização "ps" para determinar quem é telnetting para a caixa em questão. Se houver mais de uma pessoa, BOFH O caminho seria o de matar todos os processos até que o usuário em questão desaparece misteriosamente da máquina de destino, mas provavelmente você não quer fazer isso. Você pode provavelmente usar um pouco de senso comum e login etc vezes de adivinhar. Repita esse processo até chegar a uma máquina eo verdadeiro nome de usuário.

Se o usuário tiver logout que torna mais difícil.

Muito obrigado pela sua resposta.

Eu estava pensando em fazer exatamente o que você sugeriu, mas foi só me perguntava se existe uma maneira mais fácil de passar sobre ela.

Tem de haver.

Se não - vamos escrever.

Sério, há um monte de pessoas muito inteligentes sobre esse conselho, vamos fazer com que isso aconteça

O que você acha?

Se alguém tem para oferecer uma outra solução, por favor fale UP

A partir de sua postagem que você deseja rastrear usuários que estão efetuando login como root e que eles estão fazendo.

Maneira mais fácil é a raiz de telneting em bloco a partir de ligações remotas. Forçar os usuários de fazer o login, como eles mesmos e, em seguida, "su" sobre a raiz. Você pode, então, registrar todas as tentativas su (UN-sucedida e bem sucedida) e monitorar as pessoas para trás toda a servidores.

Segurança básica regra é apenas para permitir login de root para a consola de terminal fisicamente localizado no servidor.

São as suas pessoas madeireira na inicial unix servidor a partir de um PC?
O que fazemos, cada PC é atribuir um id único. Podemos traçar o login através do PC id id que mostra-se o dedo no comando.

Além disso, nosso sistema foi / usr / var / adm / syslog.dated arquivos .. traço que todos os logins e raiz dispositivo que eles são provenientes. Você poderia, então, traçar o dispositivo.


Hope this helps