ssh user aktivitás loggolása

Hello!

Debian Linuxot használok, ilyen célra a következőt írtam az /etc/profile fileba(ez minden bejelentkezéskor befut, legalábbis bash-nél).
[code:1:f1ea3736fb]readonly HISTFILESIZE
readonly HISTFILE
readonly HISTSIZE
bash () { /usr/local/bin/bash --login ; } ; readonly bash
[/code:1:f1ea3736fb]
Ezek arra szolgálnak, hogy a user ne tudja átállítani a HISTFILE, HISTFILESIZE, HISTZIE változókat, ezzel megakadályozva a logolást.
A logolás akkor sem működik, ha a user netán a .bash_history file helyére létrehozott egy .bash_history könyvtárat!
A user .bash_history-jára rakok egy append-only flaget:

[code:1:f1ea3736fb]touch ~user/.bash_history; chattr +a ~user/.bash_history[/code:1:f1ea3736fb]

Harmadik lépésként lefordítom a kernelt a grsecurity patchel (http://www.grsecurity.net/).
Bekapcsolom az Exec, és Chdir logolást, ezek után nagy halom logot kapok. Vigyázz, ha aktív rendszered van, nagyon sok lehet!

[/img]

Hello!

Debian Linuxot használok, ilyen célra a következőt írtam az /etc/profile fileba(ez minden bejelentkezéskor befut, legalábbis bash-nél).
[code:1:9ea9a2a498]readonly HISTFILESIZE
readonly HISTFILE
readonly HISTSIZE
bash () { /usr/local/bin/bash --login ; } ; readonly bash
[/code:1:9ea9a2a498]
Ezek arra szolgálnak, hogy a user ne tudja átállítani a HISTFILE, HISTFILESIZE, HISTZIE változókat, ezzel megakadályozva a logolást.
A logolás akkor sem működik, ha a user netán a .bash_history file helyére létrehozott egy .bash_history könyvtárat!
A user .bash_history-jára rakok egy append-only flaget:

[code:1:9ea9a2a498]touch ~user/.bash_history; chattr +a ~user/.bash_history[/code:1:9ea9a2a498]

Harmadik lépésként lefordítom a kernelt a grsecurity patchel (http://www.grsecurity.net/).
Bekapcsolom az Exec, és Chdir logolást, ezek után nagy halom logot kapok. Vigyázz, ha aktív rendszered van, nagyon sok lehet!

ezzel az a gond, hogy csak a bash-ban kiadott parancsokat logolja. ha elindít egy mc-t, amit abban művel azt már nem.

[quote:55786a2aa3="x-daemon"]ezzel az a gond, hogy csak a bash-ban kiadott parancsokat logolja. ha elindít egy mc-t, amit abban művel azt már nem.

Az exec-log patch azokat is fogja.

[quote:abadd3ca06="x-daemon"]ezzel az a gond, hogy csak a bash-ban kiadott parancsokat logolja. ha elindít egy mc-t, amit abban művel azt már nem.

Ezt tényleg megfogja az exec, viszont erről jut eszembe, a ~user/.mc/history filera is szoktam egy append-only-t rakni. Az mc oda logolja, hogy hova mászkált az illető.

bash history...
Vedd a nevedre, adj írás jogot.

csko, és ha első dolga egy tcsh vagy dash indítása? vagy egy másik mc szerű programé? :)

x-daemon, a grsecurity patch Exec logging funkciója logol mindent execve() kérést.

Csak hogy jobban lássátok, megmutatom:
indíttotam egy mc-t, mc-ben berírtam, hogy uname -a.
Lehetett volna tcsh is, vagy akármi, azt is lejegyezte volna.
Ezek után /var/log/syslog tartalma:

[code:1:21720c74fc]Mar 6 19:23:54 csko kernel: grsec: From x.x.x.x: exec of /usr/bin/mc (mc ) by /bin/bash[bash:2894] uid/euid:1000/1000 gid/egid:1018/1018, parent /bin/bash[bash:265] uid/euid:1000/1000 gid/egid:1018/1018
Mar 6 19:23:54 csko kernel: grsec: From x.x.x.x: exec of /usr/lib/mc/bin/cons.saver (cons.saver /dev/pts/2 ) by /usr/bin/mc[mc:19555] uid/euid:1000/1000 gid/egid:1018/1018, parent /usr/bin/mc[mc:2894] uid/euid:1000/1000 gid/egid:1018/1018
Mar 6 19:23:54 csko kernel: grsec: From x.x.x.x: chdir to /home/csko by /usr/bin/mc[mc:7511] uid/euid:1000/1000 gid/egid:1018/1018, parent /usr/bin/mc[mc:2894] uid/euid:1000/1000 gid/egid:1018/1018
Mar 6 19:23:54 csko kernel: grsec: From x.x.x.x: exec of /bin/bash (bash -rcfile .bashrc ) by /usr/bin/mc[mc:7511] uid/euid:1000/1000 gid/egid:1018/1018, parent /usr/bin/mc[mc:2894] uid/euid:1000/1000 gid/egid:1018/1018
Mar 6 19:23:54 csko kernel: grsec: From x.x.x.x: exec of /usr/bin/dircolors (dircolors -b ) by /bin/bash[bash:6199] uid/euid:1000/1000 gid/egid:1018/1018, parent /bin/bash[bash:17377] uid/euid:1000/1000 gid/egid:1018/1018
Mar 6 19:23:54 csko kernel: grsec: From x.x.x.x: chdir to /home/csko by /usr/bin/mc[mc:2894] uid/euid:1000/1000 gid/egid:1018/1018, parent /bin/bash[bash:265] uid/euid:1000/1000 gid/egid:1018/1018
Mar 6 19:23:54 csko kernel: grsec: From x.x.x.x: chdir to /home/csko by /usr/bin/mc[mc:2894] uid/euid:1000/1000 gid/egid:1018/1018, parent /bin/bash[bash:265] uid/euid:1000/1000 gid/egid:1018/1018
Mar 6 19:23:56 csko kernel: grsec: From x.x.x.x: exec of /bin/uname (uname -a ) by /bin/bash[bash:11710] uid/euid:1000/1000 gid/egid:1018/1018, parent /bin/bash[bash:7511] uid/euid:1000/1000 gid/egid:1018/1018
Mar 6 19:23:57 csko kernel: grsec: From x.x.x.x: chdir to /home/csko by /usr/bin/mc[mc:2894] uid/euid:1000/1000 gid/egid:1018/1018, parent /bin/bash[bash:265] uid/euid:1000/1000 gid/egid:1018/1018 [/code:1:21720c74fc]
(az IP címem az x.x.x.x helyén volt)

csko

Nem sok ertelme van ezeknek:
readonly HISTFILESIZE
readonly HISTFILE
readonly HISTSIZE

ha HISTIGNORE es HISTCONTROL nincs letiltva.

csko, az execet azt értem + smiley rulez, de akkor miért is kell a history filékkel bajlódni? :)

samson: Úgy gondolom, igazad van, bár még nem teszteltem le, csak rágoogleztam. Kösz a hozzászólást!

x-daemon: Pl. ha nincs grsec-ed, akkor ez majdnem korrekt megoldás arra, hogy legyen róla megközelítő log, hogy mégis mit csinál a user. Persze ezeket csak akkor olvasgatod, ha akarod. A .bash_history filenak alapvető funkciója, hogy a használt parancsokat vissza lehessen lapozni. nem arra való, hogy a usereket megfigyelje az admin.
Persze most picit ellentmondok az első postommal, dehát ez van :)

Közben arra is rájöttem, hogyha az SSH kliensemet(PuTTY) "csak úgy" bezárom(ALT-F4), akkor sem logol ~/.bash_history-ba. Érdekes.

csko, ha csak Alt-F4-el zárod be, akkor lehet hogy még fut az a bash amiben voltál. kérdés hogy ha timeoutol vagy kilövöd, elmenti-e a history-t mintha logout-oltál volna.

Most meg úgy tűnik, beírja.
Biztos elnézem valamit az előbb :(