Buenas, Si entiendo bien el requerimiento es ademas de saber quien a que hora, etcs hizo sudo, s...@orion:~$ sudo tail /var/log/auth.log [sudo] password for seba: Apr 30 11:17:01 orion CRON[20516]: pam_unix(cron:session): session opened for user root by (uid=0) Apr 30 11:17:01 orion CRON[20516]: pam_unix(cron:session): session closed for user root Apr 30 11:23:22 orion sudo: seba : TTY=pts/7 ; PWD=/home/seba ; USER=root ; COMMAND=/usr/bin/tail -f /var/log/auth.log
en el caso que alguien haga 'sudo su' también poder auditar lo que hace una vez que se elevó a root, correcto? En el log queda lo que se ejecutó con sudo, en el caso anterior /usr/bin/tail pero si hago un sudo su orion:/home/seba# tail -f /var/log/auth.log Apr 30 11:17:01 orion CRON[20516]: pam_unix(cron:session): session opened for user root by (uid=0) Apr 30 11:17:01 orion CRON[20516]: pam_unix(cron:session): session closed for user root Apr 30 11:23:22 orion sudo: seba : TTY=pts/7 ; PWD=/home/seba ; USER=root ; COMMAND=/usr/bin/tail -f /var/log/auth.log Apr 30 11:24:32 orion sudo: seba : TTY=pts/7 ; PWD=/home/seba ; USER=root ; COMMAND=/bin/su Apr 30 11:24:32 orion su[20538]: Successful su for root by root Apr 30 11:24:32 orion su[20538]: + pts/7 root:root Apr 30 11:24:32 orion su[20538]: pam_unix(su:session): session opened for user root by seba(uid=0) ya no puedo ver lo que se ejecutó con el segundo shell. Alguna solución para esto? Supongo que debe venir por el lado de reemplazar el shell con algún otro (pfksh en Solaris, por ejemplo). Saludos! Sebastian Alejandro wrote: > Gracias , no sabia que los comandos que tipeaban quedaban en ese log. > > Saludos, > Ale > > El día 28 de abril de 2009 11:41, Jose Maria Schenone > <jo...@dotlinux.com.ar> escribió: > >> 2009/4/28 hector acosta <hector.aco...@gmail.com>: >> >>> Qué tal >>> >>> Si quieres estar monitoreando eso constantemente una manera rústica sería: >>> tail -f /var/log/auth.log >>> Ahí se 'loguea' toda esa actividad >>> >>> Saludos, >>> Héctor Acosta >>> >>> 2009/4/28 Alejandro <cdgr...@gmail.com>: >>> >>>> Hola Gente, >>>> >>>> Necesito ayuda, tengo que Auditar todo lo que se hace por SSH >>>> principalmente los comandos, los usuarios tienen SUDO tengo forma de >>>> ver que hacen o ejecutan? >>>> >>>> Porque siempre esta el tipico que hace "sudo bash" o "sudo su -" ssi >>>> bien no hay problema, quiero saber quien lo hace. >>>> >>>> Saludos, y gracias >>>> Alejandro >>>> -- >>>> Para desuscribirte tenés que visitar la página >>>> https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ >>>> >>>> >>> -- >>> Para desuscribirte tenés que visitar la página >>> https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ >>> >>> >> Instalate logwatch y ademas de concentrarte todos los logs en un solo >> mail, te hace un muy util resumen de los login de tus usuarios y lo >> que hicieron. >> Salu2 >> -- >> Jose Maria Schenone (aka JoMaX) >> -------------------------------------------------- >> http://www.dotlinux.com.ar >> http://www.quilmeslug.org >> http://www.buenosaireslibre.org >> >> http://groups.google.com/group/aisladosenezpeleta >> aisladosenezpel...@googlegroups.com >> -------------------------------------------------- >> Linux User # 11154 / Linux Foundation User # 996 >> -- >> Para desuscribirte tenés que visitar la página >> https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ >> >> -- Para desuscribirte tenés que visitar la página https://listas.linux.org.ar/mailman/listinfo/lugar-gral/
