Hallo Sebastian,
Sebastian Suchanek schrieb am Donnerstag, den 07.02.2019 um 18:45:
> Allerdings habe ich daraus auch geschlossen, dass sudo für mich effektiv
> - wie schon bisher vermutet - keine wirklichen Vorteile bringt. Meine
> Debian-Kisten sind samt und sonders Server im weiteren Sinn, also keine
> Desktops. D.h. in der Praxis, dass ich mich dort eigentlich auch nur
> einlogge, um irgendwelche administrativen Tätigkeiten durchzuführen, für
> die ich oft sowieso root-Rechte brauche. Zudem bin ich für alle Kisten
> alleine verantwortlich, brauche also die "Traceability" nicht.
> Von daher kann ich auch in Zukunft wie gehabt einfach einen direkten
> root-Login verwenden.
Es kann irgendwann passieren, dass auf einem Deiner Server
„etwas seltsames“ passiert ist. Selbst wenn Du dann nur ein
ganz kleines bißchen nicht sicher bist, ob nicht doch jemand
anders als Du als "root" auf Deinem Server herum gefummelt hat:
Es könnte sein, dass Du dann plötzlich Logfiles vermissen wirst.
Alternativer Tipp: Wenn Du "sudo" nicht benutzen möchtest,
dann füge folgende Zeilen zu Deinen /root/.bashrc Dateien hinzu:
if [ -z "$HISTTIMEFORMAT" ]
then export HISTTIMEFORMAT="%F %T "
fi
# credit : Lars Michelsen (von dem habe ich das irgendwann abgeschrieben)
if [ -z "$HISTSIZE" ] || [ $HISTSIZE -lt 1024 ]
then export HISTSIZE=100000
fi
if [ -z "$HISTFILESIZE" ] || [ $HISTFILESIZE -lt 2048 ]
then export HISTFILESIZE=200000
fi
So werden wenigstens die Shell-Aktivitäten des "root" in der
/root/.bash_history aufbewahrt. Wenn Du es noch sicherer machen
willst, dann kannst Du zusätzliche Vorkehrungen treffen, damit
sich Einträge in .bash_history von zeitgleich laufenden Shells
nicht gegenseitig überschreiben. Ich persönliche benutze
dafür den Namen des Pseudo-Terminals, auf dem die Shell läuft.
Diesen kann man sich z.B. mit dem folgenden Befehl beschaffen:
TTY=`python -c "import os, sys; print os.ttyname(sys.stdin.fileno())[5:]"`
Wie sich daraus dann Dateinamen für die Variable HISTFILE
konstruieren lassen, überlasse ich mal als Übungsaufgabe
den diese E-Mail Lesenden, damit ich hier nicht meine gesamten
".bashrc"-Modifikationen posten muss.
Falls Du so paranoid wie ich bist, dann betreibst Du auf Deinen
Servern zusätzlich noch ein HIDS wie z.B. "samhain" von Rainer
Wichmann. Aber das ist dann gleich wieder ein ganz anderes Thema.
Liebe Grüße, Peter Funk
--
Peter Funk ✉:Oldenburger Str.86, D-27777 Ganderkesee; ☎:+49-179-640-8878
office✉: ArtCom GmbH, Haferwende 2, D-28357 Bremen, Germany
☎:+49-421-20419-0 <http://www.artcom-gmbh.de/>
Attachment:
signature.asc
Description: Digital signature