[RHEL5] Alle SSH-commando's serverside loggen - Linux en overige clients

dinsdag 20 mei 2008 17:52

Acties:

Verwijderd

Topicstarter

Is het mogelijk om alle commando's serverside te laten loggen?
Dit staat onder andere in .bash_history.
Echter gaat dat vaak mis, zeker met meerdere ingelogde gebruikers tegelijk.

Ik speel nu met de 'psacct'-service. Echter geeft deze nou ook niet precies de totale commmando's, deze geeft alleen aan dat het commando 'rm' gebruikt is.
Het liefste heb ik gewoon een lijst van:

code:

rm -f /var/www/html/index.html
> /root/nanofile
cat /root/nanofile
rdate -s ntp.demon.nl

Ik wil indien SWSoft aan mijn server werkt, graag zien wat ze daadwerkelijk aan het bekijken en doen zijn.

dinsdag 20 mei 2008 19:08

Acties:

BarthezZ

anti voetbal en slechte djs!

Mogelijkheid zou zijn een screen sessie als shell neer te gooien en die te laten loggen of evt. zelf attachen zodat je in zou kunnen grijpen

dinsdag 20 mei 2008 19:17

Acties:

MrBarBarian

Once

Ik vind je beweegreden wat dubieus, maar 'script' kan je helpen..

En ik zou het zeker even melden (bijv dmv issue) dat comando's gelogd worden

iRacing Profiel

woensdag 21 mei 2008 07:28

Acties:

capedro

MrBarBarian schreef op dinsdag 20 mei 2008 @ 19:17:
Ik vind je beweegreden wat dubieus, maar 'script' kan je helpen..

En ik zou het zeker even melden (bijv dmv issue) dat comando's gelogd worden

code:

1
2
3

user@linux:~> script -a /tmp/userlog/user-20080520.log
Script started, file is /tmp/userlog/user-20080520.log
user@linux:~>

My weblog

woensdag 21 mei 2008 08:25

Acties:

DGTL_Magician

Kijkt regelmatig vooruit

Ik heb vroeger een versie van de bash shell geforked die dat deed. Was een buitenschoolse opdracht voor school

Volgens mij heb ik die code niet meer en anders is dat toch al een Bash van +- 9/10 jaar oud.

Blog | aaZoo - (Wireless) Networking, Security, DDoS Mitigatie, Virtualisatie en Storage

woensdag 21 mei 2008 19:59

Acties:

0xDEADBEEF

Verwijderd schreef op dinsdag 20 mei 2008 @ 17:52:
Echter gaat dat vaak mis, zeker met meerdere ingelogde gebruikers tegelijk.

Dat gedeelte heb ik eens als volgt opgelost:
http://www.gnu.org/software/bash/manual/bashref.html:

shopt

shopt [-pqsu] [-o] [optname ...]
(..)
-s
Enable (set) each optname.
(..)
histappend
If set, the history list is appended to the file named by the value of the HISTFILE variable when the shell exits, rather than overwriting the file.
(..)

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

donderdag 22 mei 2008 04:40

Acties:

cherwin

Nog een toevoeging:

Whenever displaying the prompt, write the previous line to disk:
PROMPT_COMMAND='history -a'

Dus zet dit in ~/.bashrc:

code:

1 2	shopt -s histappend PROMPT_COMMAND='history -a'

Neem ook eens een kijkje naar de variabelen HISTCONTROL, HISTFILESIZE en HISTTIMEFORMAT (man bash).

Maak ook een logrotate script aan, anders zal het na verloop van tijd te groot worden om nog te overzien. Zorg er ook voor dat gebruikers niet zomaar hun geschiedenis kunnen wissen met "history -c"

[ Voor 65% gewijzigd door cherwin op 22-05-2008 04:56 ]

Tell me your problem, not the solution you think I should build for you.

donderdag 22 mei 2008 09:21

Acties:

tomato

cherwin schreef op donderdag 22 mei 2008 @ 04:40:
Zorg er ook voor dat gebruikers niet zomaar hun geschiedenis kunnen wissen met "history -c"

Euh ja en hoe zorg je ervoor dat ze ~/.bash_history niet kunnen aanpassen?

Is al genoemd, maar ik zou wel even netjes overleggen met de inloggende partij. Ik zou het in ieder geval niet accepteren als dit 'stiekem' gebeurt.

donderdag 22 mei 2008 10:59

Acties:

psyBSD

Hates 0x00 bytes

code:

1	ln -s /dev/null ~/.bash_history

edit:

Om even aan te geven dat dit volgens mij allemaal niet gaat werken, als je echt een key-logger wilt moet je bash even patchen, compilen en installeren als batch_secure (ofzo) en die als default-shell instellen voor je gebruikers.

[ Voor 69% gewijzigd door psyBSD op 22-05-2008 12:04 ]

donderdag 22 mei 2008 15:53

Acties:

Verwijderd

tomato schreef op donderdag 22 mei 2008 @ 09:21:
[...]

Euh ja en hoe zorg je ervoor dat ze ~/.bash_history niet kunnen aanpassen?

Is al genoemd, maar ik zou wel even netjes overleggen met de inloggende partij. Ik zou het in ieder geval niet accepteren als dit 'stiekem' gebeurt.

Als je als root dit doet chattr +a .bash_history dan is het onmogelijk voor een niet root gebruiker om nog rare dingen met dit bestand uit te halen.

donderdag 22 mei 2008 16:56

Acties:

tomato

Verwijderd schreef op donderdag 22 mei 2008 @ 15:53:
Als je als root dit doet chattr +a .bash_history dan is het onmogelijk voor een niet root gebruiker om nog rare dingen met dit bestand uit te halen.

Ik vraag me af of Bash daar blij mee is.

Hoe dan ook, het blijven allemaal trucs, waterdicht krijg je het op deze manier niet. Je kunt altijd je commando's in een shell scriptje gooie en dat uitvoeren bijvoorbeeld. Minder kunstmatig voorbeeld (en zonder opzet) is een gebruiker die 99% van zijn taken vanuit emacs uitvoert.

donderdag 22 mei 2008 18:30

Acties:

Boudewijn

omdat het kan

En screen, hoe zou zo'n oplossing daarmee omgaan?

vrijdag 23 mei 2008 14:42

Acties:

igmar

ISO20022

Zie oa ttyrpld. Er zijn er meer te vinden (oa ttysnoop), en wat beter is hangt van de toepassing af.