Actualmente mantenemos varios servidores de Linux y estamos buscando emplear subcontratistas. Sin embargo, no queremos saber quién hace qué en cada servidor. Además de crear cuentas sudo en cada servidor, ¿existe un sistema de administración de usuarios centralizado en el que un usuario deba iniciar sesión y luego pueda acceder o enviar comandos a ciertos sistemas?
Parece que necesita un sistema de autenticación centralizado y un sistema de auditoría centralizado para el monitoreo.
Puede configurar un servidor LDAP para la autenticación centralizada utilizando el módulo PAM de Linux. Este servidor administraría el control de acceso basado en roles y los permisos de sudo en todos los sistemas.
Para registrar la actividad de los usuarios, puede usar algo como snare, splunk, logstash, etc. para el envío de registros de cada uno de los sistemas en los que se está trabajando. Puede buscar según el usuario o el sistema para identificar la actividad del usuario y los comandos que se ejecutan.
Esta es una pregunta demasiado complicada para responder aquí, incluso si nos hubiera dicho qué estaban haciendo los subcontratistas.
¿Tiene herramientas de administración en su lugar? (es posible que desee echar un vistazo al paisaje de títeres y canónicos).
Supongamos que tiene la posibilidad de registrar cada acción por parte de cada subcontratista, ¿tiene la capacidad y las habilidades para auditar eso?
Dependiendo de para qué trabajaban, les dejaría hacer lo que quisieran en una máquina asignada a ellos, pero les pido que registren todos los cambios en un sistema centralizado de control de versiones administrado, y borren / reconstruir los sistemas desde el control de versiones al menos una vez por semana.
Lea otras preguntas en las etiquetas password-management user-management linux session-management