Hi,
ich habe folgendes Problem. Zur Systemueberwachnung moechte ich gerne wissen, was ein bestimmter Benutzer auf unseren Servern tut. Mit who bekomme ich eine Auflistung der Benutzer inkl. des Terminals.
z.B.
user1 pts/1 blabla
Jetzt habe ich mir ueberlegt, das ich dieses Terminal pts/1 klonen und in eine Datei umleiten kann. So sehe ich alle Eingaben die er gemacht hat, und fuer mich auch besonders wichtig, welche Informationen er zurueckbekommen hat. Es waere viel bequemer als mit syslog usw. zu arbeiten und zu filtern. Hat jemand dahingehend eine Idee?
Terminal mitprotokollieren
Hallo again,
ja da habt ihr recht, die bash_history waere ein Anlaufpunkt. Ich schaue mir aber auch regelmaessig die Logfiles an.
Ich hoffe jetzt nur, das es nicht verboten ist, sich logfiles anzuschauen.
Alle Infos die ich brauche bekomme ich schon. Hier ging es nur darum, dass ich die Idee hatte, dass dies ein eleganterer und einfacherer Weg waere, als die Infos aus verschiedenen log-files zusammenzutragen.
ja da habt ihr recht, die bash_history waere ein Anlaufpunkt. Ich schaue mir aber auch regelmaessig die Logfiles an.
Ich hoffe jetzt nur, das es nicht verboten ist, sich logfiles anzuschauen.
Alle Infos die ich brauche bekomme ich schon. Hier ging es nur darum, dass ich die Idee hatte, dass dies ein eleganterer und einfacherer Weg waere, als die Infos aus verschiedenen log-files zusammenzutragen.-
Mr_Snede
- Beiträge: 2323
- Registriert: 08.07.2003 13:48:49
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Ruhrpott
Es gibt ein Programm, das die Bash mitloggt.
Aaaaaber ich habe den Namen vergessen
In der Erklärung an die ich mich erinnere ging es darum einen Arbeitsablauf innerhalb der Shell zu visualisieren - ein Screencast eben nur für die Konsole. Mit Eingaben des Benutzers und Ausgaben der Programme.
Edit:
Keine Ahnung, ob es das war, an was ich mich erinnere, geht aber schon mal in die Richtung:
http://linuxwiki.de/Bash --> suche mal nach script und replay
Aaaaaber ich habe den Namen vergessen
In der Erklärung an die ich mich erinnere ging es darum einen Arbeitsablauf innerhalb der Shell zu visualisieren - ein Screencast eben nur für die Konsole. Mit Eingaben des Benutzers und Ausgaben der Programme.
Edit:
Keine Ahnung, ob es das war, an was ich mich erinnere, geht aber schon mal in die Richtung:
http://linuxwiki.de/Bash --> suche mal nach script und replay
Software Finder - Software in Kategorien Debian ohne Ballast - Tipps für ein schlankes Debian
-
meandtheshell
- Beiträge: 4054
- Registriert: 14.01.2005 17:51:30
evening folks
- zur Sache mit der bash_history: ln -s /dev/null /root/.bash_history
- generell, alles logging im Userspace hilft evtl. bei einem "normal" versierten Angreifer. Also eine Person mit Fähigkeiten zwischen script kiddie und outstanding black hat. Im Grunde ist es aber so das das Userspace logging im Sinne von profiling von erfolgten Angriffen oder für ein allgemeines auditing völlig unbrauchbar ist, da es ein jeder der auf Code Ebene auffährt, es ausschalten/verändern kann wie er es benötigt - Mann gegen Maus (sed -i s/maus/your_systems/g your_LAN)
- ich rate daher auf Kernelebene zu sichern bzw. audit Maßnahmen zu setzen. Hier ein .config eines prisitine kernel source trees gepatched mit einem Linux-VServer + Greater Security Patch http://nopaste.debianforum.de/4379
- darüber hinaus könnte man http://www.honeynet.org/tools/sebek/ verwenden
Alles was an Mann und Maus dann noch fähig ist weiter vorzudringen hat es reichlich verdient und für diese Fälle hilft wohl nur pull the plug (funny denn dazu gibt es eine gleichnamige website http://www.pulltheplug.org/) oder sich dem Mann oder auch der Maus persönlich unter Einsatz ganz abgefahrener moves in den Weg zu stellen - yay!
markus
- zur Sache mit der bash_history: ln -s /dev/null /root/.bash_history
- generell, alles logging im Userspace hilft evtl. bei einem "normal" versierten Angreifer. Also eine Person mit Fähigkeiten zwischen script kiddie und outstanding black hat. Im Grunde ist es aber so das das Userspace logging im Sinne von profiling von erfolgten Angriffen oder für ein allgemeines auditing völlig unbrauchbar ist, da es ein jeder der auf Code Ebene auffährt, es ausschalten/verändern kann wie er es benötigt - Mann gegen Maus (sed -i s/maus/your_systems/g your_LAN)
- ich rate daher auf Kernelebene zu sichern bzw. audit Maßnahmen zu setzen. Hier ein .config eines prisitine kernel source trees gepatched mit einem Linux-VServer + Greater Security Patch http://nopaste.debianforum.de/4379
- darüber hinaus könnte man http://www.honeynet.org/tools/sebek/ verwenden
Alles was an Mann und Maus dann noch fähig ist weiter vorzudringen hat es reichlich verdient und für diese Fälle hilft wohl nur pull the plug (funny denn dazu gibt es eine gleichnamige website http://www.pulltheplug.org/) oder sich dem Mann oder auch der Maus persönlich unter Einsatz ganz abgefahrener moves in den Weg zu stellen - yay!
markus
-
Mr_Snede
- Beiträge: 2323
- Registriert: 08.07.2003 13:48:49
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Ruhrpott
Software Finder - Software in Kategorien Debian ohne Ballast - Tipps für ein schlankes Debian