Re: cinque amministratori, la mano destra non sa quel che fa la sinistra
Attivo 14 maggio 2014 @ 13:04:45, Leonardo Boselli (leo@dicea.unifi.it) ha scritto:
> On Wed, 14 May 2014, gerlos wrote:
> > Non basta controllare il log di installazione?
>
> i log possono sparire
Proprio non c’è da fidarsi, eh?
>
> > Ad ogni modo, io userei sudo per le operazioni amministrative: i comandi dati con sudo
> > possono essere registrati su log, e a posteriori uno può controllare chi
> > ha fatto cosa.
> > Ad esempio:
> > $ sudo tail /var/log/auth.log | grep COMMAND
> > May 14 12:23:35 server01 sudo: gerlos : TTY=pts/2 ; PWD=/home/gerlos ; USER=root ;
> COMMAND=/usr/bin/tail -n 2000 /var/log/auth.log
>
> e se uno fa sudo gedit che logga ? normalmente tutti entrano con un
> sudo bash
sudo bash è decisamente una delle peggiori pratiche imho, per diverse ragioni.
Se fossi nella posizione di farlo, intanto toglierei loro la password di root, lasciando i privilegi di sudo (ma NON sudo passwd, ad esempio), raccomandando loro di NON usare sudo bash se non strettamente necessario (raramente lo è).
E se abusano di sudo bash, toglierei loro (temporaneamente) anche sudo bash.
Puoi infine configurare logcheck in modo che invii a tutti gli admin anche le righe del log auth.log in cui ci sono i comandi che sono stati eseguiti usando sudo, così anche senza comunicazioni esplicite ciascuno vede cosa hanno fatto gli altri, ed eventualmente se ne può discutere insieme (in modo costruttivo...).
Inoltre così si vede chi da il buon esempio, e chi sono i maleducati.
Di solito la pressione sociale del sentirsi sorvegliati dai pari è più efficace della sorveglianza di un superiore (che si cerca comunque di eludere).
A parte queste policy restrittive, cercherei di essere conciliante, per far capire che queste cose servono per lavorare insieme serenamente e aiutarsi senza intralciarsi.
saluti
gerlos
--
gerlos
Sent with Airmail
Reply to: