root shell - email notification

Hi,
ist es möglich auf einem Linux-System immer benachrichtigt zu werden wenn jemand eine shell mit der uid-0 (root) öffnet?

natürlich könnte ich ein entsprechendes script in .bashrc bzw. .bash_profile triggern, das hilft jedoch nicht wenn ein angreifer via. remote-exploit an eine root-shell gelangt die keine bash ist.

die einzigen lösungen die ich finde behandeln ssh-login bzw. bash login aber keine remote-exploits.

vielleicht hat ja von euch hier jemand einen lösungs-ansatz.
 
Spontan fallen mir 3 Möglichkeiten ein:

1. Regelmäßig prüfen, welche Prozesse mit root-priv laufen. Wenn nun ein Programm exploited wird, welches schon root-priv besitzt, fällt dies natürlich durch.
2. Shellbinaries durch ein "Proxyprogramm" ersetzen, welches beim Start überprüft mit welchen Privilegien es gestartet wurde.
3. Kernelsource modifizieren und beim syscall execve zusätlichen Code einbauen.
 
Ich denke die Möglichkeit 3 von xrayn ist die einzig sinnvolle, da Exploits durchaus auch eigene Shells mitbringen können.
 
Zurück
Oben