succesvolle su's loggen

Zie je /var/log/auth.log (of het equivalent daarvan, dit is een debian-doos).

Mar 4 22:28:21 hostname su[19752]: + pts/3 pietje-root

Het getal achter su is de pid van su, en pietje-root lijkt me voor zich spreken, pietje wordt root. Ook lijkt het me sterk dat dit niet te vinden geweest zou zijn door even door je /var/log te kijken..

Dat ligt er inderdaad aan welke distro je gebruikt en dan ook nog eens welke versie van die distro. Bij Slackware 8.1 kun je die info vinden in /var/log/secure . Waar die info staat is te vinden in de config van je logprogramma.

Als iemand trouwens root is, is het een enorm kleine moeite om die info ook te wissen.

Zonder sporen achter te laten iets lastiger, maar ook (als je root kunt zijn) niet al te lastig.

Dus waarom wil je dit...je vertrouwt die mensen, of je vertrouwt ze niet, zou ik dan denken

Sporen wissen is inderdaad erg makkelijk. Maar het is wel erg makkelijk als er meerdere mensen root hebben, en je wil achterhalen wat andere mensen gedaan hebben. Als er bijvoorbeeld naast jezelf ook andere mensen root hebben, en configs zijn veranderd, is het makkelijk te achterhalen wie voor jou heeft ingelogd (ervanuitgaande dat je root-vriendjes te vertrouwen zijn).

Gotiniens schreef op 05 maart 2003 @ 09:58:
ze ijn zeker wel te vertrouwen, maar eentje van hun is een beetje in de hack sferen enz, dus ik wil wel eens zien of ze succesvol binnenzijngekomen

En als 'ie dus ook maar een klein beetje weet wat 'ie aan het doen is dan wist 'ie z'n sporen. Of nog leuker, vervalst ze, zodat het lijkt alsof iemand anders langs is geweest.
Tenzij je met iets als shadow-logging en write-only-files gaat spelen, natuurlijk :-) Maar als root kan je in principe *alles* uit de logfiles weghalen, zolang je maar weet om welke files het gaat.

[ Voor 3% gewijzigd door JF_ op 05-03-2003 10:14 . Reden: typo ]

Of je logs naar je toe laten mailen of naar een andere server laten schrijven.

Op mijn systeem staan de logins gewoon in /var/log/messages

Gotiniens schreef op 05 March 2003 @ 12:17:
ik zou natuurlijk ook "su" alleen toegankelijk maken voor mijn user

Zie /etc/pam.d/su

Overigens krijg ik een beetje de indruk dat het programma "logcheck" erg nuttig voor jou zou zijn. Zoek daar maar eens naar

Wilke schreef op 05 March 2003 @ 02:43:
Als iemand trouwens root is, is het een enorm kleine moeite om die info ook te wissen.

Zonder sporen achter te laten iets lastiger, maar ook (als je root kunt zijn) niet al te lastig.

Dus waarom wil je dit...je vertrouwt die mensen, of je vertrouwt ze niet, zou ik dan denken

Mag jij me vertellen hoe je dat wilt doen

Setup op een stel servers die ik beheer:

auth gegevens naar /var/log/auth.log
auth gegevens naar /dev/authfifo

authfifo is een fifo geval die uitgelezen wordt door een daemon. Deze daemon reageert op bepaalde login regels en doet dan dingen die ik em opgeef, zoals quota setten, homedir symlinken in de apache webroot (dat kan niet met mod_userdir nee, hoe stom het ook klinkt )

Alleen als je die daemon killt en met cat aan die fifo gaat hangen zou je dat lukken, maar denk niet dat een standaard scriptkiddie dat door heeft mocht ie zomaar ineens root worden op mijn servers

das interesant.

alleen als ik naar authfifo zoek op google kom ik bar weinig tegen.

zou jij een link je kunnen geven of me een duw in de goeie richting geven.

ik wil namelijk binnenkort zo'n aanmeld bak maken waarop mensen kunnen inloggen voor weet jij veel wat (niet voor echt gebruik maar meer om er van te leren).

yeadder schreef op 06 maart 2003 @ 03:09:
das interesant.

alleen als ik naar authfifo zoek op google kom ik bar weinig tegen.

zou jij een link je kunnen geven of me een duw in de goeie richting geven.

ik wil namelijk binnenkort zo'n aanmeld bak maken waarop mensen kunnen inloggen voor weet jij veel wat (niet voor echt gebruik maar meer om er van te leren).

Heb dat hele programmaatje zelf gemaakt in C/C++, was mn eerste programma wat ik ooit gemaakt heb in C of C++. Dat je niets kunt vinden op authfifo in google is dan ook niets meer dan logisch: het programma draait op 2 servers en de source staat alleen hier in mn homedir.

kijk eens in de manpages van syslog, of de configfile ervan, staat wel in hoe je naar fifo logt. Fifo device aanmaken, waar je vervolgens gewoon een programma aan kunt hangen alsof het een bestand is.