On Thu, Apr 30, 2009 at 11:27:54AM -0300, sebastian muniz wrote: > Buenas, > > Si entiendo bien el requerimiento es > ademas de saber quien a que hora, etcs hizo sudo, > s...@orion:~$ sudo tail /var/log/auth.log > [sudo] password for seba: > Apr 30 11:17:01 orion CRON[20516]: pam_unix(cron:session): session > opened for user root by (uid=0) > Apr 30 11:17:01 orion CRON[20516]: pam_unix(cron:session): session > closed for user root > Apr 30 11:23:22 orion sudo: seba : TTY=pts/7 ; PWD=/home/seba ; > USER=root ; COMMAND=/usr/bin/tail -f /var/log/auth.log > > en el caso que alguien haga 'sudo su' también poder auditar lo que hace > una vez que > se elevó a root, correcto? > > En el log queda lo que se ejecutó con sudo, en el caso anterior > /usr/bin/tail > pero si hago un sudo su > orion:/home/seba# tail -f /var/log/auth.log > Apr 30 11:17:01 orion CRON[20516]: pam_unix(cron:session): session > opened for user root by (uid=0) > Apr 30 11:17:01 orion CRON[20516]: pam_unix(cron:session): session > closed for user root > Apr 30 11:23:22 orion sudo: seba : TTY=pts/7 ; PWD=/home/seba ; > USER=root ; COMMAND=/usr/bin/tail -f /var/log/auth.log > Apr 30 11:24:32 orion sudo: seba : TTY=pts/7 ; PWD=/home/seba ; > USER=root ; COMMAND=/bin/su > Apr 30 11:24:32 orion su[20538]: Successful su for root by root > Apr 30 11:24:32 orion su[20538]: + pts/7 root:root > Apr 30 11:24:32 orion su[20538]: pam_unix(su:session): session opened > for user root by seba(uid=0) > > ya no puedo ver lo que se ejecutó con el segundo shell. > Alguna solución para esto? > Supongo que debe venir por el lado de reemplazar el shell con algún otro > (pfksh en Solaris, por ejemplo). > > Saludos! > Sebastian > > > Alejandro wrote: > > Gracias , no sabia que los comandos que tipeaban quedaban en ese log. > > > > Saludos, > > Ale > > > > El día 28 de abril de 2009 11:41, Jose Maria Schenone > > <jo...@dotlinux.com.ar> escribió: > > > >> 2009/4/28 hector acosta <hector.aco...@gmail.com>: > >> > >>> Qué tal > >>> > >>> Si quieres estar monitoreando eso constantemente una manera rústica sería: > >>> tail -f /var/log/auth.log > >>> Ahí se 'loguea' toda esa actividad > >>> > >>> Saludos, > >>> Héctor Acosta > >>> > >>> 2009/4/28 Alejandro <cdgr...@gmail.com>: > >>> > >>>> Hola Gente, > >>>> > >>>> Necesito ayuda, tengo que Auditar todo lo que se hace por SSH > >>>> principalmente los comandos, los usuarios tienen SUDO tengo forma de > >>>> ver que hacen o ejecutan? > >>>> > >>>> Porque siempre esta el tipico que hace "sudo bash" o "sudo su -" ssi > >>>> bien no hay problema, quiero saber quien lo hace. > >>>> > >>>> Saludos, y gracias > >>>> Alejandro > >>>> -- > >>>> Para desuscribirte tenés que visitar la página > >>>> https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ > >>>> > >>>> > >>> -- > >>> Para desuscribirte tenés que visitar la página > >>> https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ > >>> > >>> > >> Instalate logwatch y ademas de concentrarte todos los logs en un solo > >> mail, te hace un muy util resumen de los login de tus usuarios y lo > >> que hicieron. > >> Salu2 > >> -- > >> Jose Maria Schenone (aka JoMaX) > >> -------------------------------------------------- > >> http://www.dotlinux.com.ar > >> http://www.quilmeslug.org > >> http://www.buenosaireslibre.org > >> > >> http://groups.google.com/group/aisladosenezpeleta > >> aisladosenezpel...@googlegroups.com > >> -------------------------------------------------- > >> Linux User # 11154 / Linux Foundation User # 996 > >> -- > >> Para desuscribirte tenés que visitar la página > >> https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ > >> > >> > > -- > Para desuscribirte tenés que visitar la página > https://listas.linux.org.ar/mailman/listinfo/lugar-gral/
Probá esto http://people.redhat.com/sgrubb/audit/ -- -------------- Diego Woitasen -- Para desuscribirte tenés que visitar la página https://listas.linux.org.ar/mailman/listinfo/lugar-gral/