Log de usuário em servidor

alegrete
(usa Outra)

Enviado em 24/08/2016 - 20:30h

Boa noite pessoal.

Tenho a seguinte dúvida:

Eu acesso via terminal como root e digito esse comando:
# mkdir /mnt/meuDiretorio
dentro desse diretório eu crio o arquivo teste.txt
# touch /mnt/meuDiretorio
agora eu apago ele:
# rm /mnt/meuDiretorio/teste.txt

Os comandos acima ficam no history, além disso... teria algum outro lugar? Syslog mostra isso também?
Se eu limpar meu history, como posso saber oque aconteceu na minha máquina?

Brigado

rigelforneris343
(usa Kali)

Enviado em 24/08/2016 - 20:52h

Boa noite,

Eu nunca vi nenhuma distribuição registrar em logs este tipo de ação, já vi como implementar algo que faça isso, mas por padrão assim eu nunca vi, para saber este tipo de coisa eu recomendo você criar um rm "customizado" , aonde ele apontaria para o rm original quando executado, porém antes de deletar ele criaria um log contendo as informações como data e hora do arquivo, é bastante simples.

alegrete
(usa Outra)

Enviado em 24/08/2016 - 21:16h

É para estudos.

Então, se limpo meu "history", usando o "history -c" já era? Perco oque foi feito no servidor? Exemplo:

Um cliente acessa remotamente meu servidor e deleta uma pasta ou arquivo... nesse caso se ele for alguém que entende de Linux, limpando o "history", fica difícil eu saber quem e quando apagou ou modificou algo?

rigelforneris343
(usa Kali)

Enviado em 25/08/2016 - 15:38h

Exato, não há nenhum rastro a não ser no history quando você apaga algum arquivo no servidor, o que fica registrado é somente a data e hora que o usuário logou, e se o mesmo não foi root aí que não haverá rastros mesmo

Em casos que haja a necessidade deste nível de monitoramento, o sudo deverá ser implementado, pois a cada comando realizado utilizando o sudo ocorre o registro no kern.log de data, hora, usuário que obteve a elevação e o comando.

ede_linux
(usa Ubuntu)

Enviado em 25/08/2016 - 18:12h

Entendo que seja para estudos, mas isso é um estudo um pouco esquisito, se me permite a critica :P

Porque estamos a deturpar todas a lógica de utilizadores e grupo de trabalhos do fabuloso GNU/Linux.
Mas tudo bem, se é para estudo até aceito o raciocínio, mas pretendo que fique com a noção, uma vez que já está a estudar, que o sistema está desenhado com vários níveis de permissões e tipos de usuários exatamente para isso. E quando alguém recebe acesso à máquina com um utilizador com nível de escrita é porque quem o forneceu, normalmente o gestor, está ciente dessa pessoa e acredita nela.

Bons estudos

Carlos_Cunha
(usa Linux Mint)

Enviado em 25/08/2016 - 23:01h

Opa!

1° - History não auditoria, e somente uma facilitador, por isso não e 100% confiável

2° - SUDO veio para se ter esse controle, com ele TODOS comandos são gravados, essa é a maneira correta, usuário ROOT deve ser sempre evitado(de logar)


#-------------------------------------------------------------------------------------#

"Linux is cool"

removido
(usa Nenhuma)

Enviado em 26/08/2016 - 06:31h

Dê uma olhada nesta dica: https://www.vivaolinux.com.br/dica/Guardar-historico-de-todos-os-comandos-do-BASH/

O que é sugerido é que usando chattr o histórico de comandos armazenará tudo o que for memorizado.

De modo que dará um history com muitos comandos.

Há ainda uma dica aqui no VOL sobre como armazenar data e hora dos comandos em .bash_history.

Adicione

export HISTTIMEFORMAT="%h/%d - %H:%M:%S "

no arquivo .bashrc e funciona.

Além disso pode ser que usar alias no comando history -c pode ser que sabote o apagamento de histórico. Mas faltaria um modo de não reverter.

----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)