Зарегистрируйте все корневое действие с исходным именем пользователя кто su'd/sudoed для укоренения
SVN не имеет никакой определенной установки для использования его по VPN. Это - просто универсальная VPN, возможно с небольшим количеством перенаправления портов.
Из комментариев я беру Ваши офисные потребности настроить сервер VPN, если они не хотят открывать внутреннюю сеть вообще. Туннелирование SSH было бы другой возможностью, когда ssh будет позволен.
Если, что сервер VPN настраивается, Вы просто устанавливаете пакет VPN с конфеткой и помещаете файлы конфигурации, которые должны быть подготовлены администратором сервера VPN (который мог бы или не мог бы быть Вами).
"наличие firwall" в местоположении станции, вероятно, означает, что у Вас нет open/fowared портов на маршрутизаторе. Когда внутренний дюйм/с для офисной сети используется, и доступ в Интернет достигается посредством Сетевого перевода адреса (NAT), у Вас на самом деле есть брандмауэр. Необходимо передать порт сервера VPN.
VPN затем нужен доступ к серверу SVN. Так или сервер SVN является частью VPN (или на том же сервере), или Вам нужно другое перенаправление портов на любой машине VPN во внутренней сети (вероятно, сервер) к серверу SVN.
Вы получаете доступ к серверу SVN затем с адресом в VPN.
Самые крепкие методы, кажется, AudiTD:
http://blog.ptsecurity.com/2010/11/requirection-10-Track-and- onconitor-all.html
Auditd в основном перехватывает все системные вызовы и проверяет их на набор правил. Таким образом, в вашем /etc/audit/audit.rules файл у вас будет что-то вроде следующее:
# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.
# First rule - delete all
-D
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320
# Feel free to add below this line. See auditctl man page
-a always,exit -F euid=0 -F perm=wxa -k ROOT_ACTION
Последнее правило является единственным правилом ненаправления.
Основной недостаток с таким подходом (и причина, по которой я нашел этот вопрос при поиске альтернативных вариантов) заключается в том, что файлы RAW Bog являются довольно Cruptic, и только полезны после запуска программы запросов в файле RAW RAW: Ausearch
Пример запроса для этого правила будет:
ausearch -ts today -k ROOT_ACTION -f audit_me | aureport -i -f
Решение здравого смысла, вероятно, будет создание CRON, который будет запрашивать журналы RAW Auditd, а затем отправляют их в ваше решение для ведения журнала.
В дистрибутивах Red Hat вы обычно используете журнал / var / log / secure , чтобы определить, кто входил в систему или использовал sudo на Система Fedora / CentOS / RHEL.
Примеры
пример sudo$ sudo -Es
результат журнала:
su example1 сентября 19:32:51 greeneggs sudo: saml: TTY = pts / 2; PWD = / home / saml; ПОЛЬЗОВАТЕЛЬ = корень; КОМАНДА = / bin / bash
$ su -
результат журнала:
1 сентября 19:34:49 greeneggs su: pam_unix (su-l: session): сеанс открыт для пользователя root пользователем saml (uid = 1000 )
Если у вас есть сотрудничающие пользователи, вы можете настроить rootsh для записи в syslog всех типов корневых пользователей.
http://linux.die.net/man/1/rootsh
rootsh rpms доступны в EPEL.
Версия sudo на RHEL6 также способна записывать stdout в файл для каждой сессии sudo. Посмотрите на man-страницу sudo_plugins.
Ни один из этих подходов не является полностью пуленепробиваемым.