Monitoring von bestimmten Befehlsaufrufen

[tafkad]

Hallo,

da es bei uns mal wieder passiert ist das jemand auf einer Maschine einen Dienst abgeschlatet hat und es wie immer natürlich keiner sein wollte, bin ich nun auf der Suche nach einem Tool, was es ermöglicht mitzuschreiben, welcher eingelogte User egal als was er sich maskiert hat, welchen befehl bzw. welches script er ausgeführt hat. Wenn ich mir die processtabelle anschaue kann man ja zurückverfolgen welcher Benutzer gerade z.b. sich zum root gemacht hat und was für ein Programm er ausführt. Da müsste es doch die Möglichkeit geben das ganze zu überwachen und bei defenierten befehlen/scripten die ausführung mit Benutzername in ein logfile bzw. die syslog zu schreiben.

[Meillo]

da es bei uns mal wieder passiert ist das jemand auf einer Maschine einen Dienst abgeschlatet hat und es wie immer natürlich keiner sein wollte,

Deshalb arbeitet man mit sudo statt su.

bin ich nun auf der Suche nach einem Tool, was es ermöglicht mitzuschreiben, welcher eingelogte User egal als was er sich maskiert hat, welchen befehl bzw. welches script er ausgeführt hat.

Sudo kann alle Befehle, und wer sie ausgeführt hat, loggen.

Also das root-Passwort geheim halten, dafür jedem sudo-root-Rechte geben. Und wenn jemand `sudo su' ausführt, ein ernstes Wörtchen mit ihm reden.

[cosmac]

hi,

eine radikale Möglichkeit ist acct. Mit "accton" sagt man dem Kernel, dass er für jeden beendeten Prozess User, Terminal usw. nach /var/log/account/pacct schreiben soll. Mit "lastcomm" oder "dump-acct" kann man die Datei lesen. Neben den man-Pages gibt's noch /usr/share/doc/acct/accounting.html.

Soweit der Plan. Gerade probier' ich das aus (Lenny, Kernel 2.6.32-rc1) und alle Prozesse gehörten angeblich root?!

[tafkad]

Schön wäre es wenn es immer so einfach ist. Leider ist dies aber nicht immer möglich, da uns nicht alle Systeme gehören. Wir sind nur der Dienstleister der seine eigene und auch andere Software auf dem Systemm bereitstellt und die Wartung dafür übernimmt. Allerdings kann der Eigentümer ebenfalls mit seinem System machen was er will.

[tafkad]

hi,

eine radikale Möglichkeit ist acct. Mit "accton" sagt man dem Kernel, dass er für jeden beendeten Prozess User, Terminal usw. nach /var/log/account/pacct schreiben soll. Mit "lastcomm" oder "dump-acct" kann man die Datei lesen. Neben den man-Pages gibt's noch /usr/share/doc/acct/accounting.html.

Soweit der Plan. Gerade probier' ich das aus (Lenny, Kernel 2.6.32-rc1) und alle Prozesse gehörten angeblich root?!

Hört sich soweit schonmal gut an, werd ich mir danna uch mal anschauen.