Monitor SSH terminal activity

Als je hem root-rechten geeft, kan alles wat je aanzet/installeert net zo makkelijk weer uitgezet worden natuurlijk.

Maar het probleem zit hem meer in het feit dat je iemand óf moet vertrouwen, of je geeft hem geen root-rechten.
Alles daartussenin is suboptimaal.Ik denk dat je gewoon de shell history moet nalopen, ja, dat is makkelijk te omzeilen, maar dat geldt eigenlijk voor alles.

Nog een optie is: Backup maken, en als die admin klaar is, vergelijken om te zien welke files er veranderd zijn.

realtime kun je via een tweede term fixen maar je kunt hem ook iets geven als sudosh shell die kan ook loggen geloof ik

Daarvoor heb je SUDO. Daarmee kan je een gebruiker aanmaken die alleen datgene kan en mag doen wat jij wilt en ook dit kan gelogd worden.

u_nix_we_all schreef op dinsdag 11 januari 2011 @ 11:20:
Nog een optie is: Backup maken, en als die admin klaar is, vergelijken om te zien welke files er veranderd zijn.

Of iets met Tripwire.

Verwijderd schreef op dinsdag 11 januari 2011 @ 11:13:
Zijn er tools waarmee ik zijn terminal in real time kan monitoren? Het liefst in real time omdat logging naar een file ook makkelijk aan te passen is met root-access lijkt me.

Lijkt mij wel ergens wel een beetje een sneaky attitude worden zo, je overlegt hopelijk wel wat je doet, waarom je dat wilt?



Vraag hem gewoon een dump van zijn terminalvensters als afronding voor de werkzaamheden, dat is een mooie basis voor je documentatie en nacalculatie. En kom af en toe even binnenvallen en vraag of het gaat. Of kijk gewoon de hele sessie mee als je de tijd er voor hebt, dan steek je er ook nog wat van op.

Als het om vertrouwlijkheidsredenen echt nodig is om de sessie integraal te monitoren (ik kan me dat voor bepaalde gewichtige zaken wel voorstellen), laat hem dan alleen op een geprepareerde laptop werken met een remote access protocol aan. Of zet een videokamera voor zijn snufferd.

[ Voor 4% gewijzigd door benoni op 11-01-2011 12:15 ]

Of gewoon geen root geven maar via een gedeelde screen sessie hem toegang verstrekken zodat je ook mee kan kijken.

auditd anyone?

Dit logt desnoods alle syscalls die uitgevoerd worden. Laat het naar een remote syslog host gaan en klaar.

Met "script" kun je ook simpelweg recorden wat ie aan het doen is. En als je iemand inhuurt en je vraagt of ie alles vast wil leggen in een script sessie, waarom niet? script -f zorgt ervoor dat het realtime gaat.

Misschien een hardware keylogger op het toetsenbord?

En nee, dit zijn geen waterdichte methodes.
Uiteindelijk zul je iemand toch tot op zekere hoogte moeten vertrouwen voor je deze root access geeft.

Verwijderd schreef op dinsdag 11 januari 2011 @ 13:56:
bedankt voor tips allemaal.

Zitten heel bruikbare dingen bij.

Over wat nddeleeuw zegt; een tweede terminal, heeft iemand daar misschien nog wat tips voor? Dit is namelijk volgens mij wat ik zoek. Dat je net als in Windows Server 2008 Taskmgr>Remote Control gewoon de hele sessie kan meekijken.

Screen of ttysnoop

Verwijderd schreef op dinsdag 11 januari 2011 @ 13:56:
Over zo'n terminal dump, hoe werkt dat?

Als je vanuit een lokale tekstterminal inlogt op de server kun je de hele sessie naar een bestand laten wegschrijven. Hetzelfde kan vanuit de sessie op de server zelf, oa. met script zoals hierboven vermeld.

Ik gebruik het als best practice methode voor het configureren van onze Linux servers (ong. 5 stuks). Ik kopieer de gebruikte opdrachten, scriptjes en aangepaste config files naar een tekstbestand, en voorzie dat van commentaar. Dit kost wel ongeveer een uur extra, maar heeft het voordeel dat iemand anders aan de hand van mijn tekstbestandje de configuratie makkelijk kan nalopen, of desnoods de server helemaal overnieuw zou kunnen opbouwen als dat nodig is. Zelf maak ik er ook gebruik van als ik een andere server moet installeren, dan kan ik de commando's en config files vaak op het rijtje af kopiëren van een ouder documentatiebestand.

Verwijderd schreef op dinsdag 11 januari 2011 @ 16:16:

/bin/sh
/bin/bash
/bin/su
/usr/sbin/visudo

Tuurlijk!

vi hackje.txt
:shell

bingo.

Verwijderd schreef op dinsdag 11 januari 2011 @ 16:16:
via webmin

Gewoon een tip: gooi webmin aan de kant totdat je weet hoe je het zonder webmin moet doen. Daar leer je nog iets van.

Verwijderd schreef op dinsdag 11 januari 2011 @ 16:16:
Maargoed, als ik door heb hoe zo'n terminal dump werkt, dan vraag ik daar gewoon naar.

Hoe werk je zelf met de server? Ik werk meestal vanuit een lokaal terminalprogramma (onder Windows zou dat Putty zijn) waarmee ik met SSH inlog op de server. In de meeste terminal clients zit een menu-optie om je sessie te loggen naar een tekstbestand. En je kunt natuurlijk gewoon kopiëren en plakken in het venster.

Het gaat alleen minder handig als je met 'menu-gestuurde' selectieschermen werkt binnen je terminal (alle pakketten die werken met de ncurses interface). Maar in Linux moet je in principe alles direct vanaf de command line kunnen instellen.

[ Voor 5% gewijzigd door benoni op 11-01-2011 16:44 ]

Je blocked de shell (/bin/bash)?

Hoe moet je sysadmin dan inloggen?

En hoe block je het? Verwijderen van /bin/sh is niet echt slim...

Zoals gezegd, vraag de sysadmin even in een script sessie te werken, kun je daarna op je gemak alles nalopen.

Je kunt wel wat dingen blocken, maar (zoals hierboven al gezegd), via vi een shell escape pakken ontwijkt verrassend veel beveiliging...

Ook al naar auditd gekeken? Staan in /usr/share/doc/audit-1.7.17/capp.rules een aantal voorbeelden die me echt van pas lijken te komen:

Bijvoorbeeld:


Daarnaast ook nog -S unlink om deletes af te vangen, en je bent al een heel eind.

Maar, misschien een stomme vraag, waarom zet je er niet iemand langs die je wel vertrouwd met een root shell? Hoeft de sysadmin niet eens het root wachtwoord te hebben...