sudosh2 es una herramienta que sirve para grabar sesiones, como si fuera un video, de todos los comandos que se ejecutan en shell. La aplicación nace como continuación de sudosh, y alternativa a rootsh.
Una tarea similar se puede llevar a cabo con el comando “script”, incluido en el paquete util-linux. Pero este puede ser evadido y burlado de decenas formas distintas y debe ser invocado después que la shell.
sudosh2 está diseñado para ser llamado desde sudo, cuando un usuario requiera privilegios de administrador. Una vez se ejecuta, almacena en dos ficheros de log los datos: en uno los comandos y en otro los tiempos.
Un método tradicional para saltarse el registro de comandos, ya sea del bash_history o parches en la bash, es usando aplicaciones que permiten la ejecución de comandos. Por ejemplo se abre un editor vi y desde el, se introducen las instrucciones como :!cat /etc/passwd.
Esta técnica no es posible con sudosh2, ya que en el log se verá como se abre el vi y como se ejecutan los comandos.
Para instalarlo, se descarga y compila. Los ficheros de registro se almacenan en /var/log/sudosh/
-
[root@velouria tmp]# wget “http://downloads.sourceforge.net/project/sudosh2/sudosh2-1.0.4.tgz”
-
[root@velouria tmp]# tar -zxvf sudosh2-1.0.4.tgz
-
[root@velouria tmp]# cd sudosh2-1.0.4
-
[root@velouria sudosh2-1.0.4]# ./configure
-
[root@velouria sudosh2-1.0.4]# make
- [root@velouria sudosh2-1.0.4]# make install
La configuración de sudo en el /etc/sudoers, sería similar a esta:
Para revisar los videos (realmente archivos de texto procesables), se usa el comando sudosh-replay seguido del ID, sin ese argumento, se listarán todos los disponibles.
Hay bastante carencia de productos de este tipo, tanto en sistemas Unix como Windows y para determinados entorno sometidos a auditorias continuas, son prácticamente indispensables.
Fuente: Security By Default
