Syslog de todos los comandos de admin en Linux

ikarudelabasto · July 2015

Hola, es facil la pregunta. Quiero loguear todos los comandos que se ejecuten dentro de un equipo en un servidor syslog centralizado.

Saludos!!

Mstaaravin · July 2015

http://lmgtfy.com/?q=log+all+commands+on+remote+syslog

luigibalzani · July 2015

Si tenes ganas de compilar un modulo, te podes leer esto:

https://dl.packetstormsecurity.net/papers/general/binfmt-en.pdf

Si no podrias estudiar la variable HISTFILE para ver si le podes hacer algun pipe a logger, por ejemplo export HISTFILE="| logger" o similar.

Otra opcion podria ser un cron que corra cada cierto tiempo y ejecute algo asi:

for i in `history`; do logger $i; done

DISCLAIMER: "Todo lo anterior lo escribi sobre la marcha, puede fallar todo, por ejemplo el ejemplo del history seguramente logueara palabra por palabra, pero sirve para dar ideas"

Lo que si el pdf lo hice y funciona, el tema es que deberias ver la forma de usar syslog en C.

Saludos

rd · July 2015

Para syslog centralizado podés usar syslog-ng [1] o bien para algo mas completo logstash [2] pero si necesitás grabar la sesión y tener mayor granularidad de permisos quizás te interese un broker de sesión [3]

[1] https://syslog-ng.org/

[2] https://www.elastic.co/products/logstash

[3] http://www.beyondtrust.com/Products/PowerBrokerUnixLinux/

qlixed · July 2015

A ver, fijate con esto:

$ auditctl -d task,always -F euid=0

Creo que deberia andar.

Si queres filtrar solo comandos exitosos:

$ auditctl -d task,always -F euid=0 -F success=1

Syslog de todos los comandos de admin en Linux

Respuestas