[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Maggio 2002 ml@sikurezza.org Soggetto: Re: sshd, logging, accounting Mittente: blitzkrieg Data: 2 May 2002 20:13:51 -0000
On Tue, Apr 30, 2002 at 04:49:22PM +0200, Fabio Pietrosanti (naif) wrote: > ultimamente mi e' sorta la necessita' di avere un ambiente virtuale dove > tutte le operazioni degli utenti devono venire loggate. > Il tutto e' sotto AIX, in un ambiente chrootato cui si accedere con ssh . > Avendo la necessita' di loggare tutte le sessioni degli utenti ho visto che > potevo affrontare il problema a vari livelli: > - modificare la shell affinche' loggasse tutto ( ma si frega facilmente ) > - Utilizzare come shell "script" ( purtroppo questa soluzione non funziona con > lo "script" di AIX, e non e' possibile utilizzare quello opensource > modificandolo perche' la gestione dei terminali e' completamente diversa ) > - Modificare l'sshd affinche' mi loggi tutte le sessioni > Di queste alla fine la migliore mi sembra l'ultima. > Qualcuno e' a conoscenza di eventuali 'patch' dell'sshd che mi consentano di > loggare sullo stile di "script" tutte le sessioni degli utenti? te ne butto li un po' (magari non ne va bene nemmeno una :)... una soluzione alternativa potrebbe essere quella di ricompilare l'ssh forzandolo ad usare ttysnoop come login (non l'ho mai provato su AIX.. e non so se funzioni). oppure potresti provare ttywatcher[1]. oppure ancora, se con ssh non usi certificati, potresti mettere in fronte alla macchina un dsniff o meglio ancora un ettercap (quest'ultima soluzione potrebbe diventare piu' friendly se patchi la bash[2] e vai a controllare i log di ettercap solo nel caso in cui l'utente abbia fatto partire una seconda shell). ultima cosa, non so se AIX lo faccia, ma nel kernel di linux si puo' abilitare il "BSD process accounting" che ti permette di loggare tutte le exec() del tuo utente. e' ovvio che nel caso di ttysnoop o ttywatcher devi mascherarne un po' la presenza per non insospettire l'utente e incappare in beghe di violazione di privacy. ttysnoop si trova su freshmeat [1] ftp://coast.cs.purdue.edu/pub/tools/unix/sysutils/ttywatcher/ [2] http://www.per.ry.pl/linux/bash-2.05-backup_history.patch bye bye -b -- head --lines=4 $HOME/.signature ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005