sudosh para monitorizar las acciones realizadas con root
Mediante sudosh podemos registrar las sesiones de determinados usuarios. Vamos a ver como instalarlo y usarlo.
Lo descargamos y descomprimimos y lo instalamos mediante:
./configure && make && make install
A continuación creamos el directorio donde vamos a almacenar los logs y definimos los permisos de este:
mkdir -p /var/log/sudosh chmod 0733 /var/log/sudosh
A continuación para que se pueda usar como shell devemos añadirla en /etc/shells. Lo podemos hacer a mano o mediante el siguiente comando:
whereis sudosh | awk '{print $NF }' >> /etc/shells
A continuación ya podemos crear usuarios con uid 0 (equivalentes a root) con esta shell. Un ejemplo en /etc/passwd:
moniroot:x:0:0::/home/moniroot:/usr/local/bin/sudosh
Tambien lo podriamos definir mediante sudo en /etc/sudoers:
User_Alias ADMINS=xavi,david Cmnd_Alias SUDOSH=/usr/local/bin/sudosh ADMINS ALL=SUDOSH
Por lo que para ejecutar comandos con root deberíamos ejecutar el siguiente comando:
$ sudo /usr/local/bin/sudosh
Una vez instalado, para listar las sesiones almacenadas ejecutamos sudosh-replay:
# sudosh-replay Date From To ID ==== ==== == == Wed Jan 21 13:55:56 2009 root root root-root-1232542556-M4pgTdfH3a2w4cbD Wed Jan 21 13:59:00 2009 root root root-root-1232542740-3ItxPAh1v47dKhJ1 Wed Jan 21 14:51:21 2009 root root root-root-1232545881-RlNpw1lake4HHCeV ??? indicates no information available (pre 1.4.3) ** indicates no random file names (pre 1.6.0) Usage: sudosh-replay ID [MULTIPLIER] [MAXWAIT] See 'sudosh-replay -h' for more help. Example: sudosh-replay root-root-1232545881-RlNpw1lake4HHCeV 1 2
Si queremos reproducir alguno del listado lo haríamos mediante su ID:
# sudosh-replay root-root-1232542740-3ItxPAh1v47dKhJ1
26. January 2009 at 7:39 am :
[…] sudosh e iftop. Dos interesantes herramientas para monitorización que desconocía por completo. […]