linux – 如何跟踪超级用户活动

具体来说,我正在寻找这些功能：

> A)将键击记录到安全的syslog服务器
> B)重播shell会话的能力(类似于scriptreplay)
> C)理想情况下,如果没有对服务器的物理访问,这应该是不可能(或非常困难)的事情.

从安全/审计角度考虑这一点,在需要允许不同系统管理员(甚至第三方)在服务器上执行特权操作的环境中.

每个管理员都拥有自己的名义帐户,并且每个交互式会话都应该完全记录,如有必要可以重播(例如,如果有人使用mc删除或更改关键文件,那么它就不够了知道那个人发出了mc命令;必须有一种方法可以确切地看到启动mc后所做的事情.

补充说明：

>正如womble指出的那样,最好的选择可能是没有人使用root权限登录以在服务器上执行更改,而是通过配置管理系统执行此操作.因此,我们假设我们没有这样的系统,我们需要通过同一台服务器向不同的人授予根级访问权限.
>我对偷偷摸摸地执行此操作并不感兴趣：每个登录到具有root权限的服务器的人都会完全意识到会话将被记录(例如,呼叫中心操作符知道他们的对话的方式相同正在录制)
>没有人会使用通用超级用户帐户(“root”)
>我知道ttyrpld,它似乎做我正在寻找的.但在这之前,我想知道是否可以通过使用未修改的内核来解决这个问题.我想知道是否有任何特定的Debian工具(或者一般的Linux)允许完全审核超级用户帐户而无需修补shell或内核.