Hallo,

Ich suche nach einer Möglichkeit, alle Aktivitäten eines Users in ein Logfile zu schreiben. AFAIR gibts da einen Befehl der das erledigt, der will mir aber nicht mehr einfallen.

Vielen Dank schonmal im Voraus,

Schreib mir wenn du ihn gefunden hast - ich suche schon laenger. Vor allem fuer pts/* wuerde mich das interessieren (ssh logins fex). Die ~/.bash_history ist nicht so das sicherste. :)

-phoen][x-

*g*, das stimtm wohl. Vor allem habe ich hier gerade das Problem, dass wir einen Supporter eine Fremdfirma als root auf eine Rechner lassen müssen, weil das Produkt von denen nicht läuft.
Und das was der Mensch da veranstaltet hätte ich schon gerne geloggt (nach ausserhalb versteht sich)

Wenn's nur um die Konsole geht: "script"

Aber wie einsetzten..

wenn ich script einfach in meine /etc/profile packte, wuerde as zwar gestartet werden, allerding kann der benutzer ja ganz einfach die "script-shell" mit exit verlassen. Wenn ich nun ganz hinterlistig die shell von dem user auf /usr/bin/script lege (hehe) dann hab ich das exit-problem umgangen, allerdings muss die datei in die der user schreibt +w fuer ihn sein, was ihn dazu bewegen koennte die datei einfach vor dem logout zu eliminieren (ohne dass ich was dagegen tun koennte).

Hast du eine schlaue idee, melody_lee?

-phoen][x-

Bin ich jetzt zu blöd oder geht das wirklich nicht?

Der schmutzige Gedanke, "script" als Shell zu nutzen kam mir eben auch, also habe ich das mal kurz in /etc/passwd eingetragen und zu starten versucht. Allerdings werden anscheinend einige Parameter an die Shell übergene die script nicht mag und eine Parameterbergabe mit Dateiname ist in /etc/passwd auch nicht vorgesehen...

Du brauchst ja auch gar keinen parameter - dann schreibt script halt alles in die ~/typescript. Jetzt brauchen wir bloss nur noch einen sekuendlichen cronjob, der immer die typescript in eine geschuetze datei schaufelt, und das chaos ist komplett. ;)

-phoen][x-

Ich hatte schon überlegt, ob man das nicht mit einer FIFO-Datei machen kann. (Irgendwie so hies das doch, oder?). Also eine Datei, die auf ein Skript verzweigt.
Ich hatte mal ein Programm, wass eine virtuelle .signature-Datei anlegte und bei jedem Zugriff auf die Datei einen Programmaufruf durchführte um eine neue Signatur zur kriegen.
Umgekehrt müsste ich doch auch eine Datei erzeugen können, die jeden Schreibzugriff direkt per SSH oder was auch immer übers Netzwerk wegschaufelt.

Was ist, wenn der Benutzer einfach die Datei auf 000 chmodded und um-owned? Dann haste den Salat. :)

[dangerous mode]
Du koenntest script suid root machen und die datei auf root mit 600 ownen. Dann wuerde er nix mehr machen koennen. Allerdings koennte er dir saemtliche Dateien auf deinem system mit symlink attacks zerfetzten, was auch nicht sonderlich sinnvoll waere.
[/dangerous mode]

-phoen][x-

Vielleicht sollte ich einfach Windows 2000-Server aufsetzen. Da gibts wenigstens noch den "System"-User der noch mehr Rechte hat als der Administrator. Aber unter diesem unsicheren Linux darf der Rechner-Admni doch tatsächlich auf alle Daten zugreifen...


Ich könnte doch script auf irgendeinen speziellen script-user ownen, der nur auf die jeweiligen ~/typescript zugreifen kann. Bei root hätte ich damit latürnich[tm] immernoch ein Problem, aber das lässt sich wohl nicht umgehen.

Das wuerde gehen. Allerdings muesstest du damit auch saemtliche ~homes fuer den typescript user oeffnen, was ein user wiederum ausnuetzen koennte um mit seinem script in die ~/typescript eines anderen users zu schreiben. Ich frage mich, ob das so sinnvoll ist... :)

-phoen][x-

Hallo hackers

ich weiss nicht ob ttysnoob das ist, das ihr sucht. Ich glaube das ist ilegal, dafür sieht man jeden buchstaben der eingetippt worden war :-)

greetz
adme

ChengFu:

Schreibst du das ebuild oder mach ich das heute nachmittag? :)

-phoen][x-

@phoen][x:

Das wirst du wohl machen müssen :-)

Da ich momentan noch jeden Abend Soldier of Fortune spiele (nach 2 Jahren vom Pentium 266 auf einen XP1800 mit Geforce 4 updaten macht richtig Spass) hatte ich noch keine Zeit mir die Ebuild-Doku anzugucken.
Apropos: Gibts dazu ne vernuenftige Einführung auf gentoo.org?

So, fürs erste ziehe ich mal schnell ein RPM fürs SuSE auf dem Server hier...

Jupp, hier ist der Link: http://www.gentoo.org/doc/gentoo-howto.html

Ich schreibs dann heute nachmittag und stell es in den tree. CVS Schreibzugriff ist schon was feines.

-phoen][x-

Die Anleitung werde ich mir doch gleich mal runterladen und nach Hause mailen...

Was den ttysnopp angeht, so muss man folgender Anleitung nach erst den ssh neu kompilieren, damit der eine Alternative Shell benutzt.

http://216.239.39.100/search?q=cache:jBua-5uHulwC:www.cissps.com/Assets/HOWTO%2520SSH%2520with%2520TTYSNOOP.doc+ttysnoop+s sh&hl=en&ie=UTF-8

Der Link ist wohl kaputt. Kannst du ihn nochmal pasten, und das "automatische url umwandel"-feature abschalten?

Okay, hat sich erledigt. :)

-phoen][x-

Okay, jetzt die letzte Sache:

Was passiert denn, wenn der ~fiese haxor~ User einfach 'export DISPLAY="privater.x.server:0.0"' macht, und danach ein xterm startet? Das xterm oeffnet eine neue login umgebung, die nicht mehr ueber das ttysnoop abgehoert wird, oder doch? :)

-phoen][x-

Könnte schwierig werden, das xterm bekommt ein pts-Device und die kann man anscheinend nicht gross konfigurieren.