Czy istnieje możliwość włączenia logowania komend wpisywanych przez użytkowników poprzez ssh?
Gdy użytkownik wpisze w konsoli np. "find *.png -type f | wc -l" chciałbym aby zostało to odnotowane w odpowiednim pliku, czy jest to w ogóle do wykonania?
Pełna wersja: Debian - Logowanie żądań ssh
Skupmy się na przykładowym poleceniu "find". Zobaczmy, gdzie ono jest:
$ which find
/usr/bin/find
Musisz zrobić nowy plik o nazwie "find" - plik ten będzie skryptem, który najpierw do jakiegoś loga wrzuci info o tym, jaki user, kiedy i z jakimi parametrami uruchomił to polecenie, a potem wywoła właściwe polecenie "find".
Możesz to zrobić np. tak:
1. systemowo zmieniasz $PATH tak, aby NAJPIERW przeszukiwała Twój katalog z "logowalnymi" wersjami poleceń
2. zmieniasz /usr/bin/find na /usr/bin/find.real i Twojego skrypta wrzucasz jako /usr/bin/find
Nie ustrzeżesz się przed bardziej zaawansowanymi użytkownikami - bo tacy zawsze będą w stanie sprawdzić, gdzie jest właściwa binarka, do tego można użyć poleceń: ps, top czy nawet file. polecenie "file" pokaże, że to skrypt, a potem to już zwykły 'cat' ujawni wszystko.
I user będzie sobie mógł zrobić "/usr/bin/find.real -name ...." - a na to już nic nie poradzisz.
P.S.
Po co taka inwigilacja?
$ which find
/usr/bin/find
Musisz zrobić nowy plik o nazwie "find" - plik ten będzie skryptem, który najpierw do jakiegoś loga wrzuci info o tym, jaki user, kiedy i z jakimi parametrami uruchomił to polecenie, a potem wywoła właściwe polecenie "find".
Możesz to zrobić np. tak:
1. systemowo zmieniasz $PATH tak, aby NAJPIERW przeszukiwała Twój katalog z "logowalnymi" wersjami poleceń
2. zmieniasz /usr/bin/find na /usr/bin/find.real i Twojego skrypta wrzucasz jako /usr/bin/find
Nie ustrzeżesz się przed bardziej zaawansowanymi użytkownikami - bo tacy zawsze będą w stanie sprawdzić, gdzie jest właściwa binarka, do tego można użyć poleceń: ps, top czy nawet file. polecenie "file" pokaże, że to skrypt, a potem to już zwykły 'cat' ujawni wszystko.
I user będzie sobie mógł zrobić "/usr/bin/find.real -name ...." - a na to już nic nie poradzisz.
P.S.
Po co taka inwigilacja?
@abort Twoje rozwiązanie nie ma najmniejszego sensu, istnieją profesjonalne rozwiązania do takich rzeczy.
Dla przykładu: http://www.cyberciti.biz/tips/howto-log-us...accounting.html
Taka inwigilacja, może być pomocna przy audycie powłamaniowym
Dla przykładu: http://www.cyberciti.biz/tips/howto-log-us...accounting.html
Taka inwigilacja, może być pomocna przy audycie powłamaniowym
@redeemer:
Jeśli ktoś pyta "czy" - to znaczy, że nie jest obeznany w temacie. Dla takiej osoby process accounting to armata. Gdyby pytający naprawdę chciał poukrywać swoje działania accountingu przed wytrawnymi userami, to... nie czarujmy się - znalazłby bardziej sprofilowane forum, gdzie znaleźliby się naprawdę fachowcy od tematów związanych z samymi systemami operacyjnymi, tym bardziej że accounting znalazł się już w kernelu 2.0 (więc rozwijali go wcześniej). Profil tego forum jest z leksza inny, i bardziej ukierunkowany na kodowanie, a nie OS-related security. I nie zrozum mnie źle - nie neguję Twojej wiedzy ani wiedzy innych forumowiczów (zresztą sam też mam IMHO dość spore doświadczenie z uniksami).
Jeszcze słówko o moich metodach vs accounting: moja metoda ma imho dość spore walory edukacyjne: 1) pokazuje że się da. 2) pokazuje, że można na różne sposoby. 3) pokazuje, że działa. 4) pokazuje, że można ją wykryć. Dokładnie tak jak z nauką jazdy na nartach: "jak się nie przewrócisz, to się nie nauczysz"
Twoja informacja o accountingu jest oczywiście pokazaniem metody najlepszej - i za to Ci chwała. Może jak pytający zainteresuje się głębiej tematem, to i wykorzysta...
A pisząc "Taka inwigilacja, może być pomocna przy audycie powłamaniowym" tym bardziej potwierdzasz moją tezę - na domowym kompie po włamie sam bym postawił system na nowo na osobnym dysku, a potem zajął się audytem powłamaniowym. Zresztą w moim przypadku mówienie o audycie to tak jak powiedzenie, że Słońce jest większe od planetoidy - samo stwierdzenie jest oczywiście poprawne, ale słabo oddaje skalę
P.S.
długie mi wyszło - sorry.
Jeśli ktoś pyta "czy" - to znaczy, że nie jest obeznany w temacie. Dla takiej osoby process accounting to armata. Gdyby pytający naprawdę chciał poukrywać swoje działania accountingu przed wytrawnymi userami, to... nie czarujmy się - znalazłby bardziej sprofilowane forum, gdzie znaleźliby się naprawdę fachowcy od tematów związanych z samymi systemami operacyjnymi, tym bardziej że accounting znalazł się już w kernelu 2.0 (więc rozwijali go wcześniej). Profil tego forum jest z leksza inny, i bardziej ukierunkowany na kodowanie, a nie OS-related security. I nie zrozum mnie źle - nie neguję Twojej wiedzy ani wiedzy innych forumowiczów (zresztą sam też mam IMHO dość spore doświadczenie z uniksami).
Jeszcze słówko o moich metodach vs accounting: moja metoda ma imho dość spore walory edukacyjne: 1) pokazuje że się da. 2) pokazuje, że można na różne sposoby. 3) pokazuje, że działa. 4) pokazuje, że można ją wykryć. Dokładnie tak jak z nauką jazdy na nartach: "jak się nie przewrócisz, to się nie nauczysz"
Twoja informacja o accountingu jest oczywiście pokazaniem metody najlepszej - i za to Ci chwała. Może jak pytający zainteresuje się głębiej tematem, to i wykorzysta...A pisząc "Taka inwigilacja, może być pomocna przy audycie powłamaniowym" tym bardziej potwierdzasz moją tezę - na domowym kompie po włamie sam bym postawił system na nowo na osobnym dysku, a potem zajął się audytem powłamaniowym. Zresztą w moim przypadku mówienie o audycie to tak jak powiedzenie, że Słońce jest większe od planetoidy - samo stwierdzenie jest oczywiście poprawne, ale słabo oddaje skalę
P.S.
długie mi wyszło - sorry.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.