Log das ações do usuario root

favs
(usa Debian)

Enviado em 17/08/2011 - 10:14h

Olá,

Amigos , mais uma vez venho recorrer a comunidade, estou precisando captura para auditoria os acesso e ações do usuário root em meus servidores, alguem tem alguma idéia ou conhece alguma ferramenta para isto.

Desde já agradeço .

FAVS.

CLI4life
(usa CentOS)

Enviado em 17/08/2011 - 10:21h

melhor ferramenta:

vim /root/.bash_history

[]'s

DMS_
(usa elementary OS)

Enviado em 17/08/2011 - 10:25h

Como o comando # history, você pode ver os ultimos 500 comandos usados.
Não sei se existe algum parâmetro pra mostrar os usuários que efetuaram cada comando.


Da um # history >> logroot.txt

E veja no arquivo txt


[]'

CLI4life
(usa CentOS)

Enviado em 17/08/2011 - 10:37h

Apenas para explicar o colega acima disse do comando history.
Ele mostrará os comandos do usuário que você esta logado no terminal.

para ver os comandos de root é em /root/.bash_history como falei antes.
Dos outros usuários o arquivo fica em /home/USUARIO/.bash_history
Para todos os usuarios fica no home, apenas o root que fica em /root.

[]'s

DMS_
(usa elementary OS)

Enviado em 17/08/2011 - 10:52h

Exato, pos isso coloquei o # "# history"

para mostar os comandos do Root, o usuátio atual do terminal.

y2h4ck
(usa Suse)

Enviado em 22/08/2011 - 09:34h

Recomendo voce utilizar o ttyrec.

Tem pacote no repositorio do Debian. Para utiliza-lo basta que voce adicione no /etc/profiles
o comando para executar o ttyrec + a pasta onde vai ser salvo o log.

O ttyrec funciona de forma a gravar a sessão do usuário como fosse um video.
Depois quando quiser assistir a sessão bastar dar um

$ ttyplay arquivo_log

E voce irá assistir a sessão na integra.
Recomendo salvar os logs em uma pasta remota (compartilhamento) e que pasta esteja com uma ACL para APPEND (ou seja nao pode ser apagado o conteudo, apenas adicionado).