אני מחפש התקנת לינוקס רזה (שמתחילה ממינימום אפשרי - נגיד, ubuntu minimal install או debian net install עונים על הדרישה הזאת), אבל מה שיותר חשוב - כזאת שמתעדת כל מה שקורה לה; שב- default יש רישום של יצירת משתמשים, ש- sudo מריץ sudosh לצרכי הקלטה, וככלל - כזאת שעד כמה שאפשר (אני מודע לזה שמי שיש לו root או גישה פיזית יכול לעשות הכל בסופו של דבר), כל דבר שקורה בה מתועד.

יש חיה כזאת?

התקן ג'נטו משלב א' ואילך ותקבל את מבוקשך מלוא חופניים. כנ"ל כמובן גם ב BSD, אבל זה לא לינוקס.

מה בדיוק חסר בהתקנה רגילה של דביאן עם בחירה מינימלית של החבילות?

(יש אפשרויות לקצץ משם, אבל אני רוצה להבין מה בדיוק חסר)

תוכנת ההתקנה משאירה קובצי לוג של מה שהיא עושה.

תודה לעונים.

החלק של "התקנה רזה" הוא הקל.

לגבי "מתועדת", אני מתכוון לתיעוד של מה שקורה עם המערכת בהמשך, לא רק לגבי ההתקנה עצמה.

יש תיעוד מינימלי של sudo והצלחות/כשלון של login בקבצי syslog למיניהם - אני רוצה כזה, אבל על סטרואידים. לדוגמא - משהו שבו ה- shell בברירת מחדל הוא משהו כמו sudosh שמתעד כל shell session, או לדוגמא שיש לוג של כל השינויים המשמעותיים למערכת במקום אחד:

לדוגמא, נגיד שהתקנתי התקנה מינימלית של דביאן, ואז אחד המשתמשים עושה: sudo apt-get install amarok

אז בהתקנה נפוצה (נגיד, debian), אני אראה את ה- sudo ב- auth.log; את העובדה שהותקנו 7000 חבילות (כי קודם לא היה X או KDE) ב- /var/log/apt על קבציו השונים; ואת השינויים שקרו ב- /etc כתוצאה מכך, אני אראה בלוג של etckeeper בהנחה שהתקנתי אותו.

אני מחפש הפצה שבה אני יכול לעקוב אחרי דברים כאלה בצורה פשוטה ומרוכזת, ולא צריך להרכיב את המידע מעשרה סוגי לוגים שונים. פתרון פשוט (אבל לא מספיק!) הוא להכריח את sudo להריץ sudosh מעל כל דבר - אבל מכיוון שאני לא מומחה לזה, אני בטוח שאני אפספס משהו חשוב, ולכן אני מחפש הפצה (או התקנה) שנבנתה לטובת זה מראש.

ככלל, ההתקנה שאני מיעד את זה בשבילה הוא שרת סגור בחברה, שלא אמורים לעשות בו יותר מדי דברים ידניים (הכל אמור להיות מנוהל ansible או puppet - טרם הוחלט מה) - אבל חשוב לי שאם מישהו עושה שינוי קונפיגורציה ידני, שיהיה תיעוד של מי עשה, מתי, מה נעשה וכו'.

למה אתה מניח שיש שימוש ב־sudo? מה קורה אם מריצים sudo -i או משהו דומה?

במערכת לינוקס מודרנית יש לא מעט פעולות פריווילגיות שמורצות בדרכים אחרות (לדוגמה: דרך dbus).

לעניין התקנת חבילות: ר' קבצים תחת /var/log/apt/ .

צפריר :

למה אתה מניח שיש שימוש ב־sudo? מה קורה אם מריצים sudo -i או משהו דומה? במערכת לינוקס מודרנית יש לא מעט פעולות פריווילגיות שמורצות בדרכים אחרות (לדוגמה: דרך dbus). לעניין התקנת חבילות: ר' קבצים תחת /var/log/apt/ .

אה, בדיוק בגלל זה שאלתי - כי אני יודע להתקין sudosh, אבל אין לי מושג איך (לדוגמא) לדאוג שכל שימוש ב- polkit ו/או dbus שגורר פעולה בפריוילגיה גבוהה יותר (של root או אחרת) יתועד גם כן - ויותר מזה, שיתועד במקום מרכזי. (ותודה על האזכור - אפילו לא חשבתי על dbus)

אני מחפש הפצה/התקנה שאפשר אולי לכנות אותה "audited linux". נגיד שאתה צריך להתקין לינוקס בבנק או ברשות בתי הסוהר או אפילו בבית חולים - ואתה רוצה תיעוד מלא של כל מה שקורה במערכת ע"י מישהו שיש לו הרשאות -- איך עושים את זה? (אני לא מדבר כרגע על hacking - רק על דברים שבוצעו ע"י מישהו בעל הרשאות דרך כלים סטנדטרטיים).

בחלונות, אפשר בגדול להדליק Audit מלא על ה- Filesystem ועל ה- Registry - זה מאוד מאוד (מאוד מאוד) מאיט את המחשב, אבל אפשר לראות את כל מה שקרה בדיעבד, אם כי בצורה לא במיוחד נוחה. מה הדבר הכי קרוב בלינוקס?

ואני שוב מדגיש - אני לא מנסה (כרגע) לתעד פריצות - רק דברים שמורשים ובהנחה שאין כוונת זדון של המשתמשים -- להיות מסוגל לענות על השאלה "מתי וע"י מי שונתה ההגדרה הזאת". לשאלתך "מה קורה אם מריצים sudo -i" - אם בהגדרות של sudo מרשים להריץ אך ורק sudosh, אז גם אם עושים אחר כך sudo -i או su - או משהו כזה - הטרמינל שדרכו זה קורה מוקלט. כמובן ש- root יכול לעצור את ההקלטה מיד אחר כך - (ואם זה אותו filesystem, גם למחוק את העדות שההקלטה התחילה או לזייף אותה בצורה אחרת) - אבל כאמור, אני כרגע לא מתייחס לזדון. מי שלא מכיר את sudosh, זה הזמן לקרוא עליו http://linux.die.net/man/1/sudosh

gnome-system-log
אפשר להתקין על כל הפצה.

לכל שולחן יש system log viewer משלו.

נחזור אחורה לרגע. על איזו מערכת מדובר: מערכת מרובת משתמשים או משתמש יחיד? לחלק מהמשתמשים יש הרשאות root?

מהם השינויים שאתה מגדיר כסבירים? מה לגבי עריכה ידנית של קובץ תצורה?

אני נוהג לשמור את etc עם git (בעזרת החבילה etckeeper). למרות שזה לא עוסר לענות על השאלות (אלא אם כן יש שמירה אוטומטית - ר' האינטגרצה שיש לחבילה עם apt).

צפריר :

נחזור אחורה לרגע. על איזו מערכת מדובר: מערכת מרובת משתמשים או משתמש יחיד? לחלק מהמשתמשים יש הרשאות root? מהם השינויים שאתה מגדיר כסבירים? מה לגבי עריכה ידנית של קובץ תצורה? אני נוהג לשמור את etc עם git (בעזרת החבילה etckeeper). למרות שזה לא עוסר לענות על השאלות (אלא אם כן יש שמירה אוטומטית - ר' האינטגרצה שיש לחבילה עם apt).

מדובר על מערכת נטולת משתמשים - לצורך העניין סגנון התקנה של מערכת embedded, רק שזה PC רגיל.

הסיפור הוא כזה: לקוח פוטנציאלי ביקש ממני להתקין לו קופסא כזאת לשימוש מסוים (לצורך העניין, לא בדיוק אבל בערך: + Web Server + IM Server + Router + Mail Server ועוד כל מני דברים - אבל שאין עליו אף משתמש מקומי, ואף אחד לא אמור לעשות Login אלא למטרות אדמיניסטרציה). אותו לקוח רוצה גם משתמש+סיסמא כדי שיוכל לנהל בעצמו אם יש בעיה -- הגיוני ולגטימי, אני מאוד בעד.

רק שאני בטוח שמתישהו בהמשך, הוא (או יותר סביר, אחד העובדים שלו) אכן יעשה Login וישנה משהו, לא יעדכן אותי (לא מכוונת זדון .. פשוט כי לא תמיד זוכרים), ואז אני אצטרך להיות גשש בלש בפעולה ולהבין למה פתאום דברים הפסיקו לעבוד. הייתי כבר בסרט הזה (וגם בסדרת הטלויזיה, ובסרט ההמשך, ובגרסת התלת-ממד). אז אני מנסה להקדים תרופה למכה, ולעשות את הבילוש עניין של 2 דקות של חיפוש בלוגים, ולא של יום עבודה של טלפונים לעובדים לשעבר שלא רוצים לספר שהם התקינו שרת Torrent אחרי שהם כבר לא עובדים שם.

אז, כדי לפשט את העניין: ישנו משתמש uid אחד, בלי יותר מדי הרשאות ישירות, אבל מותר לו לעשות sudo מספיק רחב כדי לערוך כל קובץ מערכת (אולי לא ישירות, אבל בשני צעדים כן), להרוג תהליכים, להעלות/להוריד שרותים וכו'. יש כמה אנשים שיכולים לעשות Log-in בעזרת public keys שוניפ, כך שבעקרון יש תיעוד של "מי עשה" אם מחפשים, למרות שיש רק משתמש יחיד.

עריכה של קובץ תצורה היא כמובן שינוי סביר, רק שאני רוצה תיעוד של מתי (ואם אפשר, מי) ומה. אכן יש etckeeper מותקן, ובנוסף לאינטגרציה עם apt (מובנית) יש גם cron job שמעדכן כל שעה אם יש שינוי (ואולי עדיף להעביר ל - inotify, אבל כרגע זה cron).

כרגע, כאשר אני חובש כובע של גשש בלש, אני מרכיב את התיעוד מהרבה חלקים (etckeeper שהוזכר, auth.log daemon.log וכאלה - וגם sudosh). אבל, לדוגמא, זה לא כולל הרשאות של polkit (לדוגמא udisksctl בהגדרות default).

ושוב נשאלת השאלה - האם יש הפצה או סקריפט שדואגים:

א) שכל הדברים יתועדו (נגיד, מתקין sudosh, מתקין etckeeper, וכו')?
ב) שכל התיעוד הזה יהיה נוח לקריאה, ולא מפוזר בין 100 כלים שונים?

מה דעתך על הפתרון שמוצא כאן:
http://askubuntu.com/questions/198915/how-to-get-all-shell-command-logged

זה נראה לי כמו אחלה פתרון לשים את הפקודה trap
ב.bashrc של כל משתמש.

וכך דיי בקלות אפשר לראות את כל הפעולות שבוצעו בעזרת מבט לקבצי
.command_log

Anonymous :

מה דעתך על הפתרון שמוצא כאן: http://askubuntu.com/questions/198915/how-to-get-all-shell-command-logged זה נראה לי כמו אחלה פתרון לשים את הפקודה trap ב.bashrc של כל משתמש. וכך דיי בקלות אפשר לראות את כל הפעולות שבוצעו בעזרת מבט לקבצי .command_log

זה לא שונה בהרבה מלהגדיל אל ה- history ל- unlimited - וזה יותר טוב מכלום, אבל נותן משמעותית פחות מאשר להחליף את ה-shell ל- sudosh שהצעתי קודם.