sudosh2, registra comandos de la shell

sudosh2 es una herramienta que sirve para grabar sesiones, como si fuera un video, de todos los comandos que se ejecutan en shell. La aplicación nace como continuación de sudosh, y alternativa a rootsh.

Una tarea similar se puede llevar a cabo con el comando “script”, incluido en el paquete util-linux. Pero este puede ser evadido y burlado de decenas formas distintas y debe ser invocado después que la shell.

sudosh2 está diseñado para ser llamado desde sudo, cuando un usuario requiera privilegios de administrador. Una vez se ejecuta, almacena en dos ficheros de log los datos: en uno los comandos y en otro los tiempos.

Un método tradicional para saltarse el registro de comandos, ya sea del bash_history o parches en la bash, es usando aplicaciones que permiten la ejecución de comandos. Por ejemplo se abre un editor vi y desde el, se introducen las instrucciones como :!cat /etc/passwd.

Esta técnica no es posible con sudosh2, ya que en el log se verá como se abre el vi y como se ejecutan los comandos.

Para instalarlo, se descarga y compila. Los ficheros de registro se almacenan en /var/log/sudosh/

  1. [root@velouria tmp]# wget “http://downloads.sourceforge.net/project/sudosh2/sudosh2-1.0.4.tgz”
  2. [root@velouria tmp]# tar -zxvf sudosh2-1.0.4.tgz
  3. [root@velouria tmp]# cd sudosh2-1.0.4
  4. [root@velouria sudosh2-1.0.4]# ./configure
  5. [root@velouria sudosh2-1.0.4]# make
  6. [root@velouria sudosh2-1.0.4]# make install

La configuración de sudo en el /etc/sudoers, sería similar a esta:

  1. User_Alias      ADMINS=admin1,admin2,admin3
  2. User_Alias      DBAS=dba1,dba2,dba3
  3. Cmnd_Alias      SUDOSH=/usr/local/bin/sudosh
  4. ADMINS          ALL=SUDOSH
  5. DBAS            ALL=(oracle)/usr/local/bin/sudosh

Para revisar los videos (realmente archivos de texto procesables), se usa el comando sudosh-replay seguido del ID, sin ese argumento, se listarán todos los disponibles.

Hay bastante carencia de productos de este tipo, tanto en sistemas Unix como Windows y para determinados entorno sometidos a auditorias continuas, son prácticamente indispensables.

Fuente: Security By Default

Share

This entry was posted in linux, tools, video. Bookmark the permalink.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

If you agree to these terms, please click here.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.