[LUGAr-gral] Auditar todo lo que se hace con SUDO
Hola Gente, Necesito ayuda, tengo que Auditar todo lo que se hace por SSH principalmente los comandos, los usuarios tienen SUDO tengo forma de ver que hacen o ejecutan? Porque siempre esta el tipico que hace "sudo bash" o "sudo su -" ssi bien no hay problema, quiero saber quien lo hace. Saludos, y gracias Alejandro -- Para desuscribirte tenés que visitar la página https://listas.linux.org.ar/mailman/listinfo/lugar-gral/
Re: [LUGAr-gral] Auditar todo lo que se hace con SUDO
Qué tal Si quieres estar monitoreando eso constantemente una manera rústica sería: tail -f /var/log/auth.log Ahí se 'loguea' toda esa actividad Saludos, Héctor Acosta 2009/4/28 Alejandro : > Hola Gente, > > Necesito ayuda, tengo que Auditar todo lo que se hace por SSH > principalmente los comandos, los usuarios tienen SUDO tengo forma de > ver que hacen o ejecutan? > > Porque siempre esta el tipico que hace "sudo bash" o "sudo su -" ssi > bien no hay problema, quiero saber quien lo hace. > > Saludos, y gracias > Alejandro > -- > Para desuscribirte tenés que visitar la página > https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ > -- Para desuscribirte tenés que visitar la página https://listas.linux.org.ar/mailman/listinfo/lugar-gral/
Re: [LUGAr-gral] Auditar todo lo que se hace con SUDO
2009/4/28 hector acosta : > Qué tal > > Si quieres estar monitoreando eso constantemente una manera rústica sería: > tail -f /var/log/auth.log > Ahí se 'loguea' toda esa actividad > > Saludos, > Héctor Acosta > > 2009/4/28 Alejandro : >> Hola Gente, >> >> Necesito ayuda, tengo que Auditar todo lo que se hace por SSH >> principalmente los comandos, los usuarios tienen SUDO tengo forma de >> ver que hacen o ejecutan? >> >> Porque siempre esta el tipico que hace "sudo bash" o "sudo su -" ssi >> bien no hay problema, quiero saber quien lo hace. >> >> Saludos, y gracias >> Alejandro >> -- >> Para desuscribirte tenés que visitar la página >> https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ >> > -- > Para desuscribirte tenés que visitar la página > https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ > Instalate logwatch y ademas de concentrarte todos los logs en un solo mail, te hace un muy util resumen de los login de tus usuarios y lo que hicieron. Salu2 -- Jose Maria Schenone (aka JoMaX) -- http://www.dotlinux.com.ar http://www.quilmeslug.org http://www.buenosaireslibre.org http://groups.google.com/group/aisladosenezpeleta aisladosenezpel...@googlegroups.com -- Linux User # 11154 / Linux Foundation User # 996 -- Para desuscribirte tenés que visitar la página https://listas.linux.org.ar/mailman/listinfo/lugar-gral/
Re: [LUGAr-gral] Auditar todo lo que se hace con SUDO
Gracias , no sabia que los comandos que tipeaban quedaban en ese log. Saludos, Ale El día 28 de abril de 2009 11:41, Jose Maria Schenone escribió: > 2009/4/28 hector acosta : >> Qué tal >> >> Si quieres estar monitoreando eso constantemente una manera rústica sería: >> tail -f /var/log/auth.log >> Ahí se 'loguea' toda esa actividad >> >> Saludos, >> Héctor Acosta >> >> 2009/4/28 Alejandro : >>> Hola Gente, >>> >>> Necesito ayuda, tengo que Auditar todo lo que se hace por SSH >>> principalmente los comandos, los usuarios tienen SUDO tengo forma de >>> ver que hacen o ejecutan? >>> >>> Porque siempre esta el tipico que hace "sudo bash" o "sudo su -" ssi >>> bien no hay problema, quiero saber quien lo hace. >>> >>> Saludos, y gracias >>> Alejandro >>> -- >>> Para desuscribirte tenés que visitar la página >>> https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ >>> >> -- >> Para desuscribirte tenés que visitar la página >> https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ >> > > > Instalate logwatch y ademas de concentrarte todos los logs en un solo > mail, te hace un muy util resumen de los login de tus usuarios y lo > que hicieron. > Salu2 > -- > Jose Maria Schenone (aka JoMaX) > -- > http://www.dotlinux.com.ar > http://www.quilmeslug.org > http://www.buenosaireslibre.org > > http://groups.google.com/group/aisladosenezpeleta > aisladosenezpel...@googlegroups.com > -- > Linux User # 11154 / Linux Foundation User # 996 > -- > Para desuscribirte tenés que visitar la página > https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ > -- Para desuscribirte tenés que visitar la página https://listas.linux.org.ar/mailman/listinfo/lugar-gral/
Re: [LUGAr-gral] Auditar todo lo que se hace con SUDO
en el archivo /var/log/secure quedan los logs de sudo El 28/04/09, Alejandro escribió: > Gracias , no sabia que los comandos que tipeaban quedaban en ese log. > > Saludos, > Ale > > El día 28 de abril de 2009 11:41, Jose Maria Schenone > escribió: > > 2009/4/28 hector acosta : > >> Qué tal > >> > >> Si quieres estar monitoreando eso constantemente una manera rústica sería: > >> tail -f /var/log/auth.log > >> Ahí se 'loguea' toda esa actividad > >> > >> Saludos, > >> Héctor Acosta > >> > >> 2009/4/28 Alejandro : > >>> Hola Gente, > >>> > >>> Necesito ayuda, tengo que Auditar todo lo que se hace por SSH > >>> principalmente los comandos, los usuarios tienen SUDO tengo forma de > >>> ver que hacen o ejecutan? > >>> > >>> Porque siempre esta el tipico que hace "sudo bash" o "sudo su -" ssi > >>> bien no hay problema, quiero saber quien lo hace. > >>> > >>> Saludos, y gracias > >>> Alejandro > >>> -- > >>> Para desuscribirte tenés que visitar la página > >>> https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ > >>> > >> -- > >> Para desuscribirte tenés que visitar la página > >> https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ > >> > > > > > > Instalate logwatch y ademas de concentrarte todos los logs en un solo > > mail, te hace un muy util resumen de los login de tus usuarios y lo > > que hicieron. > > Salu2 > > -- > > Jose Maria Schenone (aka JoMaX) > > -- > > http://www.dotlinux.com.ar > > http://www.quilmeslug.org > > http://www.buenosaireslibre.org > > > > http://groups.google.com/group/aisladosenezpeleta > > aisladosenezpel...@googlegroups.com > > -- > > Linux User # 11154 / Linux Foundation User # 996 > > -- > > Para desuscribirte tenés que visitar la página > > https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ > > > -- > Para desuscribirte tenés que visitar la página > https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ > -- Para desuscribirte tenés que visitar la página https://listas.linux.org.ar/mailman/listinfo/lugar-gral/
Re: [LUGAr-gral] Auditar todo lo que se hace con SUDO
Hola, en lo personal pienso que tenes dos opciones: 1- patchear el Bash, agregandole soporte para loguear lo que se escribe al syslog. http://e133.enemy.cx/xSH-paranoia/ 2- instalar un keylogger http://linux.org.ar/pipermail/lugar-gral/2007-March/037714.html Saludos, Alejandro -- Baicom Networks http://blog.baicom.com/ 2009/4/28 Alejandro : > Hola Gente, > > Necesito ayuda, tengo que Auditar todo lo que se hace por SSH > principalmente los comandos, los usuarios tienen SUDO tengo forma de > ver que hacen o ejecutan? > > Porque siempre esta el tipico que hace "sudo bash" o "sudo su -" ssi > bien no hay problema, quiero saber quien lo hace. > > Saludos, y gracias > Alejandro > -- > Para desuscribirte tenés que visitar la página > https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ > -- Para desuscribirte tenés que visitar la página https://listas.linux.org.ar/mailman/listinfo/lugar-gral/
Re: [LUGAr-gral] Auditar todo lo que se hace con SUDO
Buenas, Si entiendo bien el requerimiento es ademas de saber quien a que hora, etcs hizo sudo, s...@orion:~$ sudo tail /var/log/auth.log [sudo] password for seba: Apr 30 11:17:01 orion CRON[20516]: pam_unix(cron:session): session opened for user root by (uid=0) Apr 30 11:17:01 orion CRON[20516]: pam_unix(cron:session): session closed for user root Apr 30 11:23:22 orion sudo: seba : TTY=pts/7 ; PWD=/home/seba ; USER=root ; COMMAND=/usr/bin/tail -f /var/log/auth.log en el caso que alguien haga 'sudo su' también poder auditar lo que hace una vez que se elevó a root, correcto? En el log queda lo que se ejecutó con sudo, en el caso anterior /usr/bin/tail pero si hago un sudo su orion:/home/seba# tail -f /var/log/auth.log Apr 30 11:17:01 orion CRON[20516]: pam_unix(cron:session): session opened for user root by (uid=0) Apr 30 11:17:01 orion CRON[20516]: pam_unix(cron:session): session closed for user root Apr 30 11:23:22 orion sudo: seba : TTY=pts/7 ; PWD=/home/seba ; USER=root ; COMMAND=/usr/bin/tail -f /var/log/auth.log Apr 30 11:24:32 orion sudo: seba : TTY=pts/7 ; PWD=/home/seba ; USER=root ; COMMAND=/bin/su Apr 30 11:24:32 orion su[20538]: Successful su for root by root Apr 30 11:24:32 orion su[20538]: + pts/7 root:root Apr 30 11:24:32 orion su[20538]: pam_unix(su:session): session opened for user root by seba(uid=0) ya no puedo ver lo que se ejecutó con el segundo shell. Alguna solución para esto? Supongo que debe venir por el lado de reemplazar el shell con algún otro (pfksh en Solaris, por ejemplo). Saludos! Sebastian Alejandro wrote: > Gracias , no sabia que los comandos que tipeaban quedaban en ese log. > > Saludos, > Ale > > El día 28 de abril de 2009 11:41, Jose Maria Schenone > escribió: > >> 2009/4/28 hector acosta : >> >>> Qué tal >>> >>> Si quieres estar monitoreando eso constantemente una manera rústica sería: >>> tail -f /var/log/auth.log >>> Ahí se 'loguea' toda esa actividad >>> >>> Saludos, >>> Héctor Acosta >>> >>> 2009/4/28 Alejandro : >>> Hola Gente, Necesito ayuda, tengo que Auditar todo lo que se hace por SSH principalmente los comandos, los usuarios tienen SUDO tengo forma de ver que hacen o ejecutan? Porque siempre esta el tipico que hace "sudo bash" o "sudo su -" ssi bien no hay problema, quiero saber quien lo hace. Saludos, y gracias Alejandro -- Para desuscribirte tenés que visitar la página https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ >>> -- >>> Para desuscribirte tenés que visitar la página >>> https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ >>> >>> >> Instalate logwatch y ademas de concentrarte todos los logs en un solo >> mail, te hace un muy util resumen de los login de tus usuarios y lo >> que hicieron. >> Salu2 >> -- >> Jose Maria Schenone (aka JoMaX) >> -- >> http://www.dotlinux.com.ar >> http://www.quilmeslug.org >> http://www.buenosaireslibre.org >> >> http://groups.google.com/group/aisladosenezpeleta >> aisladosenezpel...@googlegroups.com >> -- >> Linux User # 11154 / Linux Foundation User # 996 >> -- >> Para desuscribirte tenés que visitar la página >> https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ >> >> -- Para desuscribirte tenés que visitar la página https://listas.linux.org.ar/mailman/listinfo/lugar-gral/
Re: [LUGAr-gral] Auditar todo lo que se hace con SUDO
On Thu, Apr 30, 2009 at 11:27:54AM -0300, sebastian muniz wrote: > Buenas, > > Si entiendo bien el requerimiento es > ademas de saber quien a que hora, etcs hizo sudo, > s...@orion:~$ sudo tail /var/log/auth.log > [sudo] password for seba: > Apr 30 11:17:01 orion CRON[20516]: pam_unix(cron:session): session > opened for user root by (uid=0) > Apr 30 11:17:01 orion CRON[20516]: pam_unix(cron:session): session > closed for user root > Apr 30 11:23:22 orion sudo: seba : TTY=pts/7 ; PWD=/home/seba ; > USER=root ; COMMAND=/usr/bin/tail -f /var/log/auth.log > > en el caso que alguien haga 'sudo su' también poder auditar lo que hace > una vez que > se elevó a root, correcto? > > En el log queda lo que se ejecutó con sudo, en el caso anterior > /usr/bin/tail > pero si hago un sudo su > orion:/home/seba# tail -f /var/log/auth.log > Apr 30 11:17:01 orion CRON[20516]: pam_unix(cron:session): session > opened for user root by (uid=0) > Apr 30 11:17:01 orion CRON[20516]: pam_unix(cron:session): session > closed for user root > Apr 30 11:23:22 orion sudo: seba : TTY=pts/7 ; PWD=/home/seba ; > USER=root ; COMMAND=/usr/bin/tail -f /var/log/auth.log > Apr 30 11:24:32 orion sudo: seba : TTY=pts/7 ; PWD=/home/seba ; > USER=root ; COMMAND=/bin/su > Apr 30 11:24:32 orion su[20538]: Successful su for root by root > Apr 30 11:24:32 orion su[20538]: + pts/7 root:root > Apr 30 11:24:32 orion su[20538]: pam_unix(su:session): session opened > for user root by seba(uid=0) > > ya no puedo ver lo que se ejecutó con el segundo shell. > Alguna solución para esto? > Supongo que debe venir por el lado de reemplazar el shell con algún otro > (pfksh en Solaris, por ejemplo). > > Saludos! > Sebastian > > > Alejandro wrote: > > Gracias , no sabia que los comandos que tipeaban quedaban en ese log. > > > > Saludos, > > Ale > > > > El día 28 de abril de 2009 11:41, Jose Maria Schenone > > escribió: > > > >> 2009/4/28 hector acosta : > >> > >>> Qué tal > >>> > >>> Si quieres estar monitoreando eso constantemente una manera rústica sería: > >>> tail -f /var/log/auth.log > >>> Ahí se 'loguea' toda esa actividad > >>> > >>> Saludos, > >>> Héctor Acosta > >>> > >>> 2009/4/28 Alejandro : > >>> > Hola Gente, > > Necesito ayuda, tengo que Auditar todo lo que se hace por SSH > principalmente los comandos, los usuarios tienen SUDO tengo forma de > ver que hacen o ejecutan? > > Porque siempre esta el tipico que hace "sudo bash" o "sudo su -" ssi > bien no hay problema, quiero saber quien lo hace. > > Saludos, y gracias > Alejandro > -- > Para desuscribirte tenés que visitar la página > https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ > > > >>> -- > >>> Para desuscribirte tenés que visitar la página > >>> https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ > >>> > >>> > >> Instalate logwatch y ademas de concentrarte todos los logs en un solo > >> mail, te hace un muy util resumen de los login de tus usuarios y lo > >> que hicieron. > >> Salu2 > >> -- > >> Jose Maria Schenone (aka JoMaX) > >> -- > >> http://www.dotlinux.com.ar > >> http://www.quilmeslug.org > >> http://www.buenosaireslibre.org > >> > >> http://groups.google.com/group/aisladosenezpeleta > >> aisladosenezpel...@googlegroups.com > >> -- > >> Linux User # 11154 / Linux Foundation User # 996 > >> -- > >> Para desuscribirte tenés que visitar la página > >> https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ > >> > >> > > -- > Para desuscribirte tenés que visitar la página > https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ Probá esto http://people.redhat.com/sgrubb/audit/ -- -- Diego Woitasen -- Para desuscribirte tenés que visitar la página https://listas.linux.org.ar/mailman/listinfo/lugar-gral/
