sudosh para monitorizar las acciones realizadas con root

Mediante sudosh podemos registrar las sesiones de determinados usuarios. Vamos a ver como instalarlo y usarlo.

Lo descargamos y descomprimimos y lo instalamos mediante:

./configure && make && make install

A continuación creamos el directorio donde vamos a almacenar los logs y definimos los permisos de este:

mkdir -p /var/log/sudosh
chmod 0733 /var/log/sudosh

A continuación para que se pueda usar como shell devemos añadirla en /etc/shells. Lo podemos hacer a mano o mediante el siguiente comando:

whereis sudosh | awk '{print $NF }' >> /etc/shells

A continuación ya podemos crear usuarios con uid 0 (equivalentes a root) con esta shell. Un ejemplo en /etc/passwd:

moniroot:x:0:0::/home/moniroot:/usr/local/bin/sudosh

Tambien lo podriamos definir mediante sudo en /etc/sudoers:

User_Alias      ADMINS=xavi,david
Cmnd_Alias      SUDOSH=/usr/local/bin/sudosh

ADMINS          ALL=SUDOSH

Por lo que para ejecutar comandos con root deberíamos ejecutar el siguiente comando:

$ sudo /usr/local/bin/sudosh

Una vez instalado, para listar las sesiones almacenadas ejecutamos sudosh-replay:

# sudosh-replay
Date                      From         To           ID
====                      ====         ==           ==
Wed Jan 21 13:55:56 2009  root         root         root-root-1232542556-M4pgTdfH3a2w4cbD
Wed Jan 21 13:59:00 2009  root         root         root-root-1232542740-3ItxPAh1v47dKhJ1
Wed Jan 21 14:51:21 2009  root         root         root-root-1232545881-RlNpw1lake4HHCeV

??? indicates no information available (pre 1.4.3)
** indicates no random file names (pre 1.6.0)

Usage: sudosh-replay ID [MULTIPLIER] [MAXWAIT]
See 'sudosh-replay -h' for more help.
Example: sudosh-replay root-root-1232545881-RlNpw1lake4HHCeV 1 2

Si queremos reproducir alguno del listado lo haríamos mediante su ID:

# sudosh-replay root-root-1232542740-3ItxPAh1v47dKhJ1