LINUX.ORG.RU
ФорумTalks

[МЖ] - Паранойя, страшно жить


0

0

Как можно сделать полное журналирование всех действий пользователя в системе? Чтобы все команды, вводимые в консоль фиксировались, все действия над файлами и прочее, при удалённом ssh подключении объекта к контролируемой системе? Очень нужная штука, но вот как реализовать я что-то не знаю сходу. Может кто делал или в курсе, куда копать следует?

☆☆☆☆

/var/log/account/pacct? Не совсем то, но довольно-таки близко.

buildworld
()
Ответ на: комментарий от Hokum

А почему не винда? Почему никто не водит курсор? Что вы о себе возомнили? Вот придет бябя милиционер проверять, а у вас и курсора-то нет... Вы что же, ставите себя выше общества? ЭТО ВОЗМУТИТЕЛЬНО!

simple_best_world_web_master
()

Cron'ом history пользователя копировать в файл, к которому у него нет доступа на запись, чтобы не устранил улики. Ну и date заодно можно туда же писать.

Для своего сервера ещё делал логгирование всех pid'ов, чтобы, если пользователь что-то убил, знать, что это был за процесс.

Irben ★★★
()
Ответ на: комментарий от Hokum

то шутка была )
может, проще на denyhosts глянуть ?

elipse ★★★
()
Ответ на: комментарий от Irben

> Cron'ом history пользователя копировать в файл

а что делать, если мы из bash'а запустим (z|*)sh и в нем уже начнем гадить?

isden ★★★★★
()

Кейлогер.

Немного не в тему, но вдруг тебе будет интересно, бывают вот такие штуки:

http://www.thinkgeek.com/gadgets/security/c49f/

Аппаратный кейлогер. Разрешаем доступ только с определённых консолей, на каждую по кейлогеру, PROFIT.

Camel ★★★★★
()
Ответ на: комментарий от Irben

> Cron'ом history пользователя копировать в файл

Баш пишет историю только на выходе. Можно вместо exit делать kill -9 $$...

const86 ★★★★★
()
Ответ на: Кейлогер. от Camel

Суть удалённой консоли, тут уже никакие кейлоггеры не доступны. А вообще интересно, кто как решает проблему аудита у себя на серверах? Или везде царит полное доверие и несоблюдение требований ФСБ? :)

Hokum ☆☆☆☆
() автор топика
Ответ на: комментарий от Cancellor

> Очевидно, убрать из системы (z|*)sh :-)

export HISTFILE=/dev/null && bash

isden ★★★★★
()

script или screen? А еще есть атрибут в chatr — доступ только на append

Xenius ★★★★★
()

man script
Или ковырять screen в качестве login shell.

AITap ★★★★★
()

>куда копать следует?

копайте в сторону SELinux.

Всё, что явным образом не разрешено является запрещённым действием.

Turbo_Mascal
()

GNOME Zeitgeist эта штука называется. Система тотального слежения за пользователем.

Quasar ★★★★★
()
Ответ на: комментарий от const86

> Баш пишет историю только на выходе. Можно вместо exit делать kill -9 $$...

Смотря как настроено. Но достаточно ставить пробел впереди команды для того, чтобы ничего не попадало в history (для благих целей придумано - не записывать команды с паролями, к примеру).

Pavel_LV
()
Ответ на: комментарий от Pavel_LV

> Но достаточно ставить пробел впереди команды для того, чтобы ничего не попадало в history (для благих целей придумано - не записывать команды с паролями, к примеру).

У меня прямо вместе с пробелом попадает в историю.

const86 ★★★★★
()
Ответ на: комментарий от Turbo_Mascal

> копайте в сторону SELinux.

Всё, что явным образом не разрешено является запрещённым действием.

Я думаю там есть полный аудит всего и вся

namezys ★★★★
()

paradise ~ # eix -I bash
[I] app-shells/bash
Available versions: 3.1_p17 3.2_p39 (~)3.2_p48 (~)3.2_p48-r1 4.0_p28 (~)4.0_p33 4.0_p35 {afs bashlogger examples mem-scramble +net nls plugins vanilla}
Installed versions: 4.0_p35(02:37:48 03.11.2009)(afs bashlogger examples net nls plugins -mem-scramble -vanilla)
Homepage: http://tiswww.case.edu/php/chet/bash/bashtop.html
Description: The standard GNU Bourne again shell
в /var/log/messages следующее:

Dec 23 19:34:25 paradise -su: HISTORY: PID=8554 UID=0 tail /var/log/messages
Dec 23 19:34:40 paradise -su: HISTORY: PID=8554 UID=0 tail 3 /var/log/messages

CyberTribe ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.