Filed Under (Dica, software livre) by rafaelgomes on 07-08-2009
Você que é um administrador de rede responsável pela segurança em um lugar onde tem várias pessoas com permissão de administrador em servidores Gnu/Linux, você também se preocupa com segurança desses servidores, bloqueou o acesso de root via SSH e sempre teve aquela dúvida:
“E se um dos administradores acessar a maquina e pegar o perfil de root? Sem informação de horário e data no history do Gnu/Linux não é possível obter essa informação.”
Na verdade essa informação existe, mas não está ativada por padrão. Execute o comando abaixo e obtenha os dados que deseja:
# export HISTTIMEFORMAT=”%F %T “
Execute o history e veja seu novo retorno. Sim, ele mostra todos os comandos com data e hora, incluindo os comandos anteriores a mudança que efetuou em seu ambiente, porém com data e hora da mudança do ambiente, ou seja adicione adicione essa linha no /etc/profile.
Obs: Lembre-se que o usuário com perfil de administrador pode modificar esse histórico, ou seja, se ele estive como foco danificar o sistema outras medidas de proteção devem estar ativas, tal como analisador de integridade. O OSSEC é uma boa suíte para isso. Aconselho!
Update : Esqueça tudo acima, instale o Snoopy que ele resolve todos seus problemas.
O Snoopy é responsável por inserir no log todos os comandos digitados, assim automáticamente será relacionada a data e hora. Veja também que é interessante um servidor de log, para que o invasor ou usuário mal-intencionado apague os logs.
O log que o snoopy adiciona os comandos na plataforma Debian é /var/log/auth.log
Para instalar no debian é muito simples, digite o comando abaixo:
# aptitude install snoopy
# export HISTTIMEFORMAT="%F %T "
histoty?
Obrigado Walter Cruz, alterado com sucesso.
17 de agosto as 18:29
VCS SÃO MARAVILHOSOS,COM EXELENTES REPORTAGENS ADOREI CONTINUEM ASSIM QUE SÓ GANHARAM MAIS AUDIENCIA.MUITO OBRIGADO