[relug] Re: Log Accessi SSH
- From: Chris <fracrist@xxxxxxxxxxx>
- To: relug list <relug@xxxxxxxxxxxxx>
- Date: Sat, 08 May 2004 14:37:28 +0200
Il ven, 2004-05-07 alle 22:28, Paolo Arnaldo Dallari ha scritto:
> Ok ho trovato il file di Log, sta in /var/log/auth
> adesso ho provato ad aumentare il livello di Log dal sshd_config xro non
> mi pare accada nulla, mi servirebbe vedere non solo quando un utente si
> connette o sconnette, ma anche cosa fà mentre è connesso (cioè tipo cosa
> apre o cosa modfica, cosa scarica, che comandi dà ecc..)
> Qualche Idea?
Mi inviti a nozze... :)
Allora, tracciare tutte le attività di un utente non è banale ma si può
fare.
1) Registrare i comandi
Devi abilitare nel kernel l'opzione "BSD process accounting" e
installare il tool "acct". In questo modo _tutti_ i comandi invocati
sono registrati nella directory /var/account/ in file di nome pacct* .
Per consultare il file (aka vedere cosa è stato fatto) puoi usare il
comando "lastcomm". Ti rimando al man per le opzioni relative.
2) Apertura e modifica dei file
Il buon vecchio "ls" dovrebbe bastare. Di solito io uso la serie di
opzioni -lastr per ordinare la lista in ordine inverso secondo il tempo
di modifica. Ti ricordo che nella maggior parte dei fs unix ci sono tre
indicatori dei tempi dei file (detti mactimes), ossia:
mtime = modify time (tempo di modifica del contenuto di un file)
atime = access time (tempo di lettura del file)
ctime = change time (tempo di modifica degli attributi del file)
Tutti si riferiscono all'ultimo evento occorso. La politica di
aggiornamento di questi dati dipende dallo specifico driver del fs
utilizzato.
Ok, fine lezione. In sostanza, usando "ls -lastr" ottieni in fondo alla
lista i file modificati più di recente.
Esistono altri strumenti, ma direi che, per le tue esigenze, sono
l'equivalente di un bazooka per sparare alle formiche.
> Grazie Ciao
>
> PAolo
Saluti,
Chris.
--
Colui che non apprezza le donne, il buon vino ed il bel canto,
alla fine diventa pazzo e non santo.
- S. Agostino -
Other related posts:
