20 noviembre 2012

sudosh2, registra comandos de la shell

sudosh2 es una herramienta que sirve para grabar sesiones, como si fuera un video, de todos los comandos que se ejecutan en shell. La aplicación nace como continuación de sudosh, y alternativa a rootsh.

Una tarea similar se puede llevar a cabo con el comando "script", incluido en el paquete util-linux. Pero este puede ser evadido y burlado de decenas formas distintas y debe ser invocado después que la shell.

sudosh2 está diseñado para ser llamado desde sudo, cuando un usuario requiera privilegios de administrador. Una vez se ejecuta, almacena en dos ficheros de log los datos: en uno los comandos y en otro los tiempos.

Un método tradicional para saltarse el registro de comandos, ya sea del bash_history o parches en la bash, es usando aplicaciones que permiten la ejecución de comandos. Por ejemplo se abre un editor vi y desde el, se introducen las instrucciones como :!cat /etc/passwd.

Esta técnica no es posible con sudosh2, ya que en el log se verá como se abre el vi y como se ejecutan los comandos.

Para instalarlo, se descarga y compila. Los ficheros de registro se almacenan en /var/log/sudosh/


La configuración de sudo en el /etc/sudoers, sería similar a esta:



Para revisar los videos (realmente archivos de texto procesables), se usa el comando sudosh-replay seguido del ID, sin ese argumento, se listarán todos los disponibles.


Hay bastante carencia de productos de este tipo, tanto en sistemas Unix como Windows y para determinados entorno sometidos a auditorias continuas, son prácticamente indispensables.

6 comments :

A l e j a n d r o dijo...

muy interesante , hablando de grabar y eso .. os dejo aqui algunos "grabones" para ver que nos dice Alexa :

estos si que graban , registran y luego , que haran con los datos obtenidos ?

Ismael dijo...

Yo uso snoopy logger

minsqui dijo...

Es muy de voyeur, mola!

Alejandro Ramos dijo...

Tiene muy buena pinta. Habrá que hacerle una review! ;D

Leonardo dijo...

CA tiene en Access Contro (antes eTrust, ahora Control Minder) una funcionalidad similar desde la versión 12.5 SP3, llamada KBL. Basicamente hace lo mismo: loguea la sesion de todos los usuarios que tengan la auditoria activada.
Luego pueden reproducrise las sesiones desde consola, o generar reportes centralizados con los comandos ejecutados.

Sra. Mary Smith dijo...

Hola gente querida,

Am Sra. Lisa Un gobierno legítimo y respetable registrado prestamista de dinero aprobado, le doy a préstamo a baja tasa de interés del 3%, por lo que si usted está por ahí en busca de préstamo de cualquier cantidad a partir de la gama de $ 1,000.00 USD a una tasa máxima de El rango máximo de $ 2,000.000 Usd luego póngase en contacto conmigo en la calle Via (kent_lisaloanfirm@hotmail.com)
Rellene el formulario de solicitud de abajo y volver a mí para proceder:
1) Nombre completo ===========
2) Género ==================
3) Cantidad necesaria ================
4) Duración del préstamo =====================
5) Dirección principal =========================
6) Número de móvil ==========================
7) Ocupación ==================================
8) Ingreso Mensual ==================================
10) Propósito de préstamo ===================================

Espero su respuesta urgente para seguir adelante en esta transacción:
Gracias:
Sra. Lisa
Email = (kent_lisaloanfirm@hotmail.com)