Yazılan her komutu nasıl kaydedebilirsiniz?

24

Birinin kabuğa girdiği her komutu nasıl kaydedebilirsiniz?

Hem bir başkasının sunucusuna giriş yaptıysanız ve bir şey kırılsa veya sunucunuza bir başkası giriş yaptıysa (kasıtlı olarak veya kötü amaçlı olarak) kendinizi korumanın temelini soruyorum.

Hatta bir acemi kutu baypas öyküsü ile unset historyya izlerini gizlemek için yeni bir kabuk oluşturur.

Senior linux yöneticilerinin hangi komutların girildiğini / sistemde yapılan değişikliklerin nasıl izlendiğini merak ediyorum.

shell  security  command-history  history 
spuder
kaynak

Yanıtlar:

29

Denetçi göz atın . Eklersen

-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve

için /etc/audit/audit.rulesher yürütülecek komutlar günlüğe kaydedilir. Bakınız: http://whmcr.com/2011/10/14/auditd-logging-all-commands/

Sonra syslog sunucusuna gönderin.

Taş
kaynak
Elbette execvegiriş yapmanız gereken tek sistem değil. Neden bu execvpkadar iyi değil ? Ya da execl? vs
2rs2ts
Aslında, man sayfasındaki exec" exec() İşlev ailesi, geçerli işlem görüntüsünü yeni bir işlem görüntüsüyle değiştiriyor. Bu kılavuz sayfasında açıklanan işlevler için ön uç " yazdığını fark ettim execve(2). Bu yüzden aile execveathakkında emin olabileceğimden emin değilim exec.
02ts
5

Script komutunu kullanabilirsiniz . Bu komut POSIX'e dahil edilmemiştir, ancak tüm tuş vuruşlarını ve aynı zamanda çıkış ve hata mesajlarını bir dosyada saklamayı faydalı bulabilirsiniz. Daha sonra dosyayı görüntüleyebilirsiniz. Bazı önemli işler yapıyorsanız ve tüm faaliyetlerinizin kaydını tutmak istiyorsanız, bu komutu giriş yaptıktan hemen sonra çağırmalısınız:

$ script
Komut dosyası başlatıldı, dosya typecript
$ _ Bu başka bir kabuk olduğuna dikkat edin - oturum açma kabuğunun çocuğu

Bilgi istemi geri döner ve şimdi girdiğiniz tüm tuş vuruşlarınızı (geri almak için kullanılanlar da dahil) 'typescript' dosyasına kaydedilir. Kaydınız bittikten sonra, oturumu exit girerek sonlandırabilirsiniz .
Not: Komut dosyası dosya adı girerseniz , oturum, yazı dosyası yerine dosya dosya adında depolanır ; yani, belirli bir dosya adı belirtilmezse, yazı tipi varsayılandır.

Artık , kaydedilmiş oturumu görüntülemek için, hangisi olursa olsun, kedi dosya adını veya cat typescript'i kullanabilirsiniz .

Eski bir dosya kullanımına yeni bir oturum eklemek isterseniz: script -a Yeni oturumu yazı tipine ekler, burada da aynı varsayılan kural geçerlidir

Bu, sistem yöneticisinin oturumları izleyebilmesinin bir yoludur. Umarım bilgilendirici ve faydalı olmuştur. Şerefe!

işaret
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.