Rootsh - Auditando/monitorando o root e demais usuários do GNU/Linux
Neste artigo, mostro como registrar tudo o que um usuário do GNU/Linux (inclusive o root) vê, digita e faz em seu terminal. Em outras palavras, quase uma funcionalidade de Keylogger, porém feito com o objetivo de ter uma auditoria, monitoramento e registro seguro do que cada usuário está realizando no terminal.
[ Hits: 15.223 ]
Por: Esli Silva em 16/07/2014 | Blog: https://esli.blog.br
Introdução
Olá, a todos. ;-)
Rootsh é um Shell (pseudo Shell) que registra tudo o que um usuário do GNU/Linux, inclusive o root, vê, digita e faz em seu terminal.
Em outras palavras, o Rootsh possui quase a funcionalidade de um Keylogger, porém, feito com o objetivo de ter uma auditoria, monitoramento e registro seguro do que cada usuário está realizando no terminal (pode-se configurar para todos os usuários, somente alguns ou somente o root).
Segundo o desenvolvedor:
Se você quer saber se o Rootsh "pega" o que digitaram e quer descobrir as senhas usadas, já pode parar por aqui. A resposta é NÃO.
O Rootsh não foi feito para o conceito real do que é um Keylogger (aquilo que pega as senhas dos Win-users). Novamente, seu propósito é ter uma auditoria, monitoramento e registro seguro do que estão fazendo ao logar como root (ou também, o que determinado usuário está fazendo, ou até mesmo todos).
E SIM, isto é permitido num ambiente de trabalho ou desenvolvimento, desde que cada integrante da equipe esteja ciente que está sendo monitorado e/ou conste na política de segurança (que deve estar acessível a todos). Não é só de logs de Squid, que se vive um monitoramento efetivo.
O ambiente ideal para o uso, é onde todos os que possuem acesso sabem de sua existência (do rootsh), e usam-no não só para auditoria/monitoramento, mas para uma ferramenta de log extremamente usual e também uma prevenção (ou modo para rastreio), caso seus servidores venham a ser atacados/invadidos.
O objetivo principal do Rootsh é permitir que você dê ao usuário o acesso ao root, mas mantendo o monitoramento e logs sobre suas ações. O usuário não terá a senha de root, usará o comando sudo, mas terá no final das contas, o terminal logado como root.
O Rootsh trabalha entre o usuário e o Shell (bash) real. Ele passa as informações de um lado para o outro e direciona isto também para um arquivo de log.
Rootsh é um Shell (pseudo Shell) que registra tudo o que um usuário do GNU/Linux, inclusive o root, vê, digita e faz em seu terminal.
Em outras palavras, o Rootsh possui quase a funcionalidade de um Keylogger, porém, feito com o objetivo de ter uma auditoria, monitoramento e registro seguro do que cada usuário está realizando no terminal (pode-se configurar para todos os usuários, somente alguns ou somente o root).
Segundo o desenvolvedor:
"Isto é útil se você tiver mais de um administrador do sistema para um servidor e você quer um registro exato do que qualquer usuário faz."
Se você quer saber se o Rootsh "pega" o que digitaram e quer descobrir as senhas usadas, já pode parar por aqui. A resposta é NÃO.
O Rootsh não foi feito para o conceito real do que é um Keylogger (aquilo que pega as senhas dos Win-users). Novamente, seu propósito é ter uma auditoria, monitoramento e registro seguro do que estão fazendo ao logar como root (ou também, o que determinado usuário está fazendo, ou até mesmo todos).
E SIM, isto é permitido num ambiente de trabalho ou desenvolvimento, desde que cada integrante da equipe esteja ciente que está sendo monitorado e/ou conste na política de segurança (que deve estar acessível a todos). Não é só de logs de Squid, que se vive um monitoramento efetivo.
O ambiente ideal para o uso, é onde todos os que possuem acesso sabem de sua existência (do rootsh), e usam-no não só para auditoria/monitoramento, mas para uma ferramenta de log extremamente usual e também uma prevenção (ou modo para rastreio), caso seus servidores venham a ser atacados/invadidos.
O objetivo principal do Rootsh é permitir que você dê ao usuário o acesso ao root, mas mantendo o monitoramento e logs sobre suas ações. O usuário não terá a senha de root, usará o comando sudo, mas terá no final das contas, o terminal logado como root.
O Rootsh trabalha entre o usuário e o Shell (bash) real. Ele passa as informações de um lado para o outro e direciona isto também para um arquivo de log.
Páginas do artigo
1. Introdução2. Compilação / Configuração
3. Logs / Otras opções / Fontes
Outros artigos deste autor
DHCP no GNU/Linux - Guia para ISC-DHCP Server
Certificados e OpenSSL - A Sopa de Letras
Guia SSD no Linux: tudo que você precisa saber e o que precisa esquecer!
Leitura recomendada
Implementação de WAF mod_security e integração com Graylog utilizando Filebeat e Logstash
Incron - supervisionando sistemas de arquivos
Segurança da Informação na Internet
IDS com Debian 4, Snort 2.8.3.1 e BASE 1.4.1
Criando um cluster de alta performance para quebrar senhas
Comentários
[2] Comentário enviado por Tacioandrade em 17/07/2014 - 20:29h
Engraçado que passei um bom tempo pesquisando uma solução para fazer exatamente isso a mais de 6 meses atrás, porem por correrias tive que parar e essa semana, na terça feira um colega me indicou um artigo sobre a ferramenta e apareceu essa sua postagem.
Estava vendo esse programa e é uma pena ele estar abandonado a tanto tempo e não possuir pacotes .deb e .rpm, pois instalar em 1 ou 2 computadores manualmente é simples, porem instalar em 50 ou mais já se torna uma tarefa complexa. =(
Engraçado que passei um bom tempo pesquisando uma solução para fazer exatamente isso a mais de 6 meses atrás, porem por correrias tive que parar e essa semana, na terça feira um colega me indicou um artigo sobre a ferramenta e apareceu essa sua postagem.
Estava vendo esse programa e é uma pena ele estar abandonado a tanto tempo e não possuir pacotes .deb e .rpm, pois instalar em 1 ou 2 computadores manualmente é simples, porem instalar em 50 ou mais já se torna uma tarefa complexa. =(
[3] Comentário enviado por eslih em 18/07/2014 - 12:29h
[2] Comentário enviado por Tacioandrade em 17/07/2014 - 20:29h:
...
Estava vendo esse programa e é uma pena ele estar abandonado a tanto tempo e não possuir pacotes .deb e .rpm, pois instalar em 1 ou 2 computadores manualmente é simples, porem instalar em 50 ou mais já se torna uma tarefa complexa. =(
Olá @Tacioandrade, estou com alguns projetos em andamento, mas ao finaliza-los vou desenvolver os pacotes .deb e rpm e posto novamente. Ou melhor até, além do pacote padrão .deb, coloco o caminho das pedras para você criar o seu próprio porém já deixando dentro do .deb as configurações para enviar ao seu syslog, já que mesmo criando um .deb para melhorar o tempo de instalação, de toda forma teria que personalizar as configurações para o seu servidor de logs centralizado (mais que algumas maquinas seria absurdo deixar os logs em cada uma delas)....
Obrigado a você e o @lcavalheiro pelos comentários e a todos que visitaram este artigo.
[2] Comentário enviado por Tacioandrade em 17/07/2014 - 20:29h:
...
Estava vendo esse programa e é uma pena ele estar abandonado a tanto tempo e não possuir pacotes .deb e .rpm, pois instalar em 1 ou 2 computadores manualmente é simples, porem instalar em 50 ou mais já se torna uma tarefa complexa. =(
Olá @Tacioandrade, estou com alguns projetos em andamento, mas ao finaliza-los vou desenvolver os pacotes .deb e rpm e posto novamente. Ou melhor até, além do pacote padrão .deb, coloco o caminho das pedras para você criar o seu próprio porém já deixando dentro do .deb as configurações para enviar ao seu syslog, já que mesmo criando um .deb para melhorar o tempo de instalação, de toda forma teria que personalizar as configurações para o seu servidor de logs centralizado (mais que algumas maquinas seria absurdo deixar os logs em cada uma delas)....
Obrigado a você e o @lcavalheiro pelos comentários e a todos que visitaram este artigo.
[4] Comentário enviado por Tacioandrade em 18/07/2014 - 16:38h
[3] Comentário enviado por eslih em 18/07/2014 - 12:29h:
Olá @Tacioandrade, estou com alguns projetos em andamento, mas ao finaliza-los vou desenvolver os pacotes .deb e rpm e posto novamente. Ou melhor até, além do pacote padrão .deb, coloco o caminho das pedras para você criar o seu próprio porém já deixando dentro do .deb as configurações para enviar ao seu syslog, já que mesmo criando um .deb para melhorar o tempo de instalação, de toda forma teria que personalizar as configurações para o seu servidor de logs centralizado (mais que algumas maquinas seria absurdo deixar os logs em cada uma delas)....
Obrigado a você e o @lcavalheiro pelos comentários e a todos que visitaram este artigo.
Realmente não tinha pensado nisso de criar meu próprio .deb já com as configurações do syslog, ótima ideia mesmo caro amigo, uma vez a muito tempo criei meu pacote .deb, porem foi para uma aplicação que não tinha nenhum requisito, só desempacotava no diretório correto porem acho que da para criar meu próprio .deb mesmo. =D
Sobre o Syslog, você utiliza em algum local? Se sim, qual o sistema que você usa (syslog-ng ou rsyslg) e qual interface de gerenciamento, pois testei o logalizer, porem achei muito fraca. =(
Um forte abraço.
[3] Comentário enviado por eslih em 18/07/2014 - 12:29h:
Olá @Tacioandrade, estou com alguns projetos em andamento, mas ao finaliza-los vou desenvolver os pacotes .deb e rpm e posto novamente. Ou melhor até, além do pacote padrão .deb, coloco o caminho das pedras para você criar o seu próprio porém já deixando dentro do .deb as configurações para enviar ao seu syslog, já que mesmo criando um .deb para melhorar o tempo de instalação, de toda forma teria que personalizar as configurações para o seu servidor de logs centralizado (mais que algumas maquinas seria absurdo deixar os logs em cada uma delas)....
Obrigado a você e o @lcavalheiro pelos comentários e a todos que visitaram este artigo.
Realmente não tinha pensado nisso de criar meu próprio .deb já com as configurações do syslog, ótima ideia mesmo caro amigo, uma vez a muito tempo criei meu pacote .deb, porem foi para uma aplicação que não tinha nenhum requisito, só desempacotava no diretório correto porem acho que da para criar meu próprio .deb mesmo. =D
Sobre o Syslog, você utiliza em algum local? Se sim, qual o sistema que você usa (syslog-ng ou rsyslg) e qual interface de gerenciamento, pois testei o logalizer, porem achei muito fraca. =(
Um forte abraço.
[5] Comentário enviado por Eslih em 19/07/2014 - 13:07h
[4] Comentário enviado por Tacioandrade em 18/07/2014 - 16:38h:
Realmente não tinha pensado nisso de criar meu próprio .deb já com as configurações do syslog, ótima ideia mesmo caro amigo, uma vez a muito tempo criei meu pacote .deb, porem foi para uma aplicação que não tinha nenhum requisito, só desempacotava no diretório correto porem acho que da para criar meu próprio .deb mesmo. =D
Sobre o Syslog, você utiliza em algum local? Se sim, qual o sistema que você usa (syslog-ng ou rsyslg) e qual interface de gerenciamento, pois testei o logalizer, porem achei muito fraca. =(
Um forte abraço.
Olá novamente @tacioandrade ;-)
Se no seu caso o hardware e o sistema for padronizado, pode-se facilitar tudo com o checkinstall (que na hora da compilação vai gerar o .deb, mas se instalar em outra maquina pode ter problemas)...
Tenho mais facilidade/afinidade com o syslog-ng (não que seja melhor ou pior que o rsyslog)... Agora sobre interface para logs (falando não só do rootsh, mas de qualquer log centralizado), creio que uma das melhores combinações seja usar o Logstash + Kibana + Elasticsearch, hoje trabalho uma multinacional que é um AS (Sistema autonomo de internet) e cuja infra há centenas de servidores e clusters GNU/linux e pra complicar um pouco, diversos routers e um range /24 de IP's válidos... Um projeto que em breve será feito é este trio (Logstach+Kibana e ElasticSearch), não conhecia muito sobre, mas quando fui estudar a fundo o que pode ser feito com isto, realmente é impressionante.
[4] Comentário enviado por Tacioandrade em 18/07/2014 - 16:38h:
Realmente não tinha pensado nisso de criar meu próprio .deb já com as configurações do syslog, ótima ideia mesmo caro amigo, uma vez a muito tempo criei meu pacote .deb, porem foi para uma aplicação que não tinha nenhum requisito, só desempacotava no diretório correto porem acho que da para criar meu próprio .deb mesmo. =D
Sobre o Syslog, você utiliza em algum local? Se sim, qual o sistema que você usa (syslog-ng ou rsyslg) e qual interface de gerenciamento, pois testei o logalizer, porem achei muito fraca. =(
Um forte abraço.
Olá novamente @tacioandrade ;-)
Se no seu caso o hardware e o sistema for padronizado, pode-se facilitar tudo com o checkinstall (que na hora da compilação vai gerar o .deb, mas se instalar em outra maquina pode ter problemas)...
Tenho mais facilidade/afinidade com o syslog-ng (não que seja melhor ou pior que o rsyslog)... Agora sobre interface para logs (falando não só do rootsh, mas de qualquer log centralizado), creio que uma das melhores combinações seja usar o Logstash + Kibana + Elasticsearch, hoje trabalho uma multinacional que é um AS (Sistema autonomo de internet) e cuja infra há centenas de servidores e clusters GNU/linux e pra complicar um pouco, diversos routers e um range /24 de IP's válidos... Um projeto que em breve será feito é este trio (Logstach+Kibana e ElasticSearch), não conhecia muito sobre, mas quando fui estudar a fundo o que pode ser feito com isto, realmente é impressionante.
[6] Comentário enviado por marlonpso em 05/08/2014 - 22:00h
Ola .. antes de mais nada ...parabens pelo artigo .. muito bom mesmo ...
e agora sobre o rootsh ele parece ser mto bom mesmo .. mais e o sudosh2 alguem ja viu ?? ele é mesmo o que veio para substituir esse rootsh ??
desde ja muito obrigado ! =D
Ola .. antes de mais nada ...parabens pelo artigo .. muito bom mesmo ...
e agora sobre o rootsh ele parece ser mto bom mesmo .. mais e o sudosh2 alguem ja viu ?? ele é mesmo o que veio para substituir esse rootsh ??
desde ja muito obrigado ! =D
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Passkeys: A Evolução da Autenticação Digital
Instalação de distro Linux em computadores, netbooks, etc, em rede com o Clonezilla
Título: Descobrindo o IP externo da VPN no Linux
Armazenando a senha de sua carteira Bitcoin de forma segura no Linux
Enviar mensagem ao usuário trabalhando com as opções do php.ini
Dicas
Instalando Brave Browser no Linux Mint 22
vídeo pra quem quer saber como funciona Proteção de Memória:
Encontre seus arquivos facilmente com o Drill
Mouse Logitech MX Ergo Advanced Wireless Trackball no Linux
Compartilhamento de Rede com samba em modo Público/Anônimo de forma simples, rápido e fácil
Tópicos
Programa duplicado no "Abrir com" e na barra de pesquisa do ... (1)
VMs e Interfaces de Rede desapareceram (13)
Como abrir o pycharm no linux [RESOLVIDO] (4)
Top 10 do mês
-
Xerxes
1° lugar - 74.933 pts -
Fábio Berbert de Paula
2° lugar - 54.706 pts -
Mauricio Ferrari
3° lugar - 16.900 pts -
Andre (pinduvoz)
4° lugar - 15.739 pts -
Alberto Federman Neto.
5° lugar - 15.482 pts -
Daniel Lara Souza
6° lugar - 15.137 pts -
Diego Mendes Rodrigues
7° lugar - 14.953 pts -
Buckminster
8° lugar - 13.634 pts -
edps
9° lugar - 12.509 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 11.903 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
