User überwachen

[Serow]

Hi,

gibts ne Möglichkeit die Aktionen der Benutzer zu überwachen? Nach Möglichkeit jedes cd, rm, touch etc in in log file außerhalb des home dirs des jenigen zu schreiben?

cu
serow

 

[beavisbee]

außerhalb des Home-Verzeichnisses wüsste ich jetzt nicht...

aber wenn es dir lediglich um Eingaben geht, die in der bash getätigt werden, dann könntest du dir per CronJob alle X Minuten die Bash-History (/home/<username>/.bash_history) kopieren oder zumindestens auslesen und auswerten...

wenn es jedoch um ein Desktop-System geht, wo man auch grafisch herum hantieren kann, bringt dir das nichts...

andererseits fände ich es als Nutzer nicht gerade toll, wenn all meine Aktionen geloggt werden.... aber egal....

 

[Serow]

Ja es geht mir auch nur prinzipiell um die Logging Möglichkeiten.

 

[Eydeet]

Du könntest dich mit dem Thema "Auditing" beschäftigen. Das sollte so ziemlich das sein, was du vorhast.

 

[bitmuncher]

Schau dir mal Programme wie snoopylogger oder ttysnoop an. Damit dürfte das Gewünschte machbar sein.

 

[xbeduine]

Original von beavisbee
aber wenn es dir lediglich um Eingaben geht, die in der bash getätigt werden, dann könntest du dir per CronJob alle X Minuten die Bash-History (/home/<username>/.bash_history) kopieren oder zumindestens auslesen und auswerten...

Es gibt eine einfache Möglichkeit zu verhindern, dass die einegebenen Befehle in der .bash_history landen (und ich meine nicht das ändern der Rechte)

 

[VierZwei]

Original von bitmuncher
Schau dir mal Programme wie snoopylogger oder ttysnoop an. Damit dürfte das Gewünschte machbar sein.

Ich hab testweise auf meinem System "snoopy" eingesetzt, laut eigener Beschreibung ein Rootkit

 

[bitmuncher]

Die Rede war von Snoopy-Logger.

Snoopy is designed to aid the task of a sysadmin by providing a log of commands executed. Snoopy is completely transparent to the user and applications. It is linked into programs to provide a wrapper around calls to execve(). Logging is done via syslogd

Quelle: http://sourceforge.net/projects/snoopylogger/

Sowie ttysnoop:

ttysnoop is a package which will, if configured properly, allow you (the SysAdmin) to "snoop" on users' ttys.

Quelle: http://www.linuxhelp.net/guides/ttysnoop/

Aber natürlich enthalten auch viele Rootkits entsprechende Tools.

 

[VierZwei]

Ich denk ich habe mich etwas unglücklich ausgedrückt:
Wir reden vom gleichen Programm, aber ich sehe es nicht als Rootkit an, sondern als ein Programm, welches sich ziemlich tief im System verankert.

Ich meinte nicht, dass er sein System mit einem Rootkit versehen soll.