Para poder monitorizar y controlar a los usuarios en servidores, que sabemos que es una tarea muy compleja debido a los usuarios compartidos entre otras cuantas razones, como son muchas formas de ejecutar comandos o logs o según el nivel de accesso puede tener permisos para que el propio usuario consiga borrar que pueda incluso subir o crear binarios y no quede claramente demostrado los archivos modificados o las llamadas modificadas.
Una opción para tener un poco de control tenemos snoopylogger, que sabemos que viene incluido en muchas distribuciones, y que tan solo es una librería que se encargará de almacenar los comandos y el usuario que los ejecuta mediante syslogd.
Para instalar Snoopylogger lo descargamos desde la terminal
Descomprimimos el archivo en el directorio que querramos
Accedemos al directorio descomprimido
Luego necesitaremos configurarlo y modificar algunos parametros accedeiendo alarchivo snoopy.h
Dentro del archivos setearemos los siguiente parametros
Guardamos el archivos snoopy.h y ejecutamos el comando de configuración
Luego compilamos para instalarlo con los siguientes comandos
Iniciamos el programa con el siguiente comando
Luego debemos establecer snoopy para que se ejecute automáticamente añadiendo una nueva línea en /etc/ld.so.preload
Finalmente es recomendable reiniciar el sistema operativo y con ello debería empezar a funcionar correctamente. Los log que se vayan recolectando se guardaran en la ruta:
Para poder ver los log que se han registrado utilizamos el siguiente comando
Por ejemplo al ejecutar el comando ls desde la terminal con el usuario root, el comando ls para listar archivos genera el siguiente registro.
Dic 6 15:25:12 centos snoopy[13845]: [uid:0 sid:13833 tty:/dev/pts/2 cwd:/root filename:/bin/ls]: ls
Sudosh está diseñado para ser ejecutado en distros Debian cuando un usuario requiera privilegios de administrador. Una vez se ejecuta, almacena en dos ficheros de log los datos, en uno los comandos y en otro los tiempos. Un método tradicional para saltarse el registro de comandos, es usando aplicaciones que permiten la ejecución de comandos. Por ejemplo se abre un editor nano y desde el se introducen las instrucciones como cat /etc/passwd, para acceder a las claves del sistema.
Esta técnica no es posible con sudosh, ya que en el log se verá como se abre el nano y como se ejecutan los comandos. Para instalarlo, se descarga y compila. Los ficheros de registro se almacenan en:
Para revisar los videos que son archivos de texto convertibles, se usa el comando sudosh-replay seguido del ID del archivo, sin ese argumento, se listarán todos los disponibles.
Una opción para tener un poco de control tenemos snoopylogger, que sabemos que viene incluido en muchas distribuciones, y que tan solo es una librería que se encargará de almacenar los comandos y el usuario que los ejecuta mediante syslogd.
Para instalar Snoopylogger lo descargamos desde la terminal
wget http://downloads.sourceforge.net/project/snoopylogger/snoopy-1.8.0.tar.gz?r=&ts=1322946864&use_mirror=nchc
Descomprimimos el archivo en el directorio que querramos
tar xf snoopy-1.8.0.tar.gz
Accedemos al directorio descomprimido
cd snoopy-1.8.0
Luego necesitaremos configurarlo y modificar algunos parametros accedeiendo alarchivo snoopy.h
nano snoopy.h
Dentro del archivos setearemos los siguiente parametros
#define SNOOPY_ROOT_ONLY 1 #define SNOOPY_MAX_ARG_LENGTH 12288
Guardamos el archivos snoopy.h y ejecutamos el comando de configuración
./configure
Luego compilamos para instalarlo con los siguientes comandos
make && make install
Iniciamos el programa con el siguiente comando
make enable
Luego debemos establecer snoopy para que se ejecute automáticamente añadiendo una nueva línea en /etc/ld.so.preload
Finalmente es recomendable reiniciar el sistema operativo y con ello debería empezar a funcionar correctamente. Los log que se vayan recolectando se guardaran en la ruta:
- /var/log/message
- O puede ser también /var/log/auth y /var/log/secure
Para poder ver los log que se han registrado utilizamos el siguiente comando
tail /var/log/auth.log
Por ejemplo al ejecutar el comando ls desde la terminal con el usuario root, el comando ls para listar archivos genera el siguiente registro.
Dic 6 15:25:12 centos snoopy[13845]: [uid:0 sid:13833 tty:/dev/pts/2 cwd:/root filename:/bin/ls]: ls
Sudosh grabrar sesiones de usuarios como videos
¿Qué es Sudosh?
Sudosh es una herramienta que sirve para grabar sesiones, como si fuera un video, de todos los comandos que se ejecutan en la terminal.
Sudosh está diseñado para ser ejecutado en distros Debian cuando un usuario requiera privilegios de administrador. Una vez se ejecuta, almacena en dos ficheros de log los datos, en uno los comandos y en otro los tiempos. Un método tradicional para saltarse el registro de comandos, es usando aplicaciones que permiten la ejecución de comandos. Por ejemplo se abre un editor nano y desde el se introducen las instrucciones como cat /etc/passwd, para acceder a las claves del sistema.
Esta técnica no es posible con sudosh, ya que en el log se verá como se abre el nano y como se ejecutan los comandos. Para instalarlo, se descarga y compila. Los ficheros de registro se almacenan en:
/var/log/sudosh/
Para revisar los videos que son archivos de texto convertibles, se usa el comando sudosh-replay seguido del ID del archivo, sin ese argumento, se listarán todos los disponibles.
Conclusión Final
Estas dos herramientas nos permitirán tener cierto control sobre lo que ejecutan nuestros usuarios y asi poder tener un manejo mas adecuado de las seguridad en el servidor.
