Как проверить, кто запускает обновления или установленные пакеты на Debian?

Я в довольно странной ситуации, когда я не доверяю всем пользователям прав sudo, и я ничего не могу с этим поделать. Я бы хотел периодически проверять, не устанавливали ли какие-либо пакеты какие-либо пакеты или даже хуже, запускать обновления, не спрашивая меня на моих серверах Debian / Ubuntu. На других серверах, работающих с CentOS, я использую yum history . Есть ли способ узнать, кто был непослушен? Я бы спал намного лучше …

Заранее благодарю за любую помощь.

Я предполагаю, что другие пользователи не пытаются что-то скрывать от вас, они просто немного невежественны или раздражают. Если они хотят спрятаться, они могут, и вы ничего не можете с этим поделать.

Существуют журналы использования apt в /var/log/apt и журналы использования dpkg в /var/log/dpkg.log . Они сообщают вам, какие операции с пакетами выполнялись, когда; они не говорят вам, кем, но вы можете получить подсказку по сравнению с last .

Вы можете получить полезное отслеживание манипуляций с пакетами и изменений конфигурации, поставив /etc под управлением версиями. etckeeper (доступный как пакет на Debian и Ubuntu) делает это очень хорошо. Установите его и отредактируйте /etc/etckeeper/etckeeper.conf чтобы настроить его по своему вкусу:

  • Установите VCS в вашу любимую систему управления версиями.
  • Убедитесь, что AVOID_DAILY_AUTOCOMMITS закомментирован. Если кто-то внесет изменения в /etc , он будет записан в автоматическом фиксации. Не будет значимого сообщения журнала, но, по крайней мере, изменение и его приблизительная дата будут отслеживаться.
  • Убедитесь, что AVOID_COMMIT_BEFORE_INSTALL закомментирован. Опять же, перед использованием APT-инструментов ( apt , apt-get , aptitude и т. Д.) Будет выполняться автоматическая фиксация. Всегда есть автоматическая фиксация после операций управления пакетами, в которой перечислены изменения.

Убедитесь, что для записи идентификатора коммиттера настроены соответствующие переменные среды или файлы конфигурации. В зависимости от того, как люди получают root (через su , sudo и т. Д.), Это может означать изменение корневого .profile или .bashrc (если люди используют sudo -s ) или даже добавление крюка фиксации для захвата $SUDO_USER чтобы Коммиттер на записи – это не просто root .