Kleine und große Linux AHAs
Beiträge getaggt mit aufzeichnen
Unleserliches debuggen, oder: Fehlersuche in verschlüsselten Protokollen
03. Mai
Immer mehr Datenverkehr wird verschlüsselt. Einerseits natürlich richtig und gut. Andererseits ein Problem. Früher konnte man mit Hilfe von Tools wie Wireshark (Ethereal) oder tcpdump relativ schnell Probleme (z.B.) in der Kommunikation zwischen Programm und Server herausfinden. Einfach den Netzwerkverkehr mitschneiden, ansehen / auswerten und es zeigten sich Fehler die man im Programm möglicherweise nicht zu Gesicht bekommen hat.
Mittlerweile sind die Pakete weitestgehend verschlüsselt und man kann nicht mehr einfach so “mit schreiben” – naja, man kann natürlich; aber lesen kann man es nicht. Also fällt ein mitschreiben – einfach mal so – flach.
Eine andere Möglichkeit die Kommunikation zwischen Programmen zu debuggen ist, sich einfach manuell zu verbinden und die Kommandos direkt einzugeben um zu prüfen ob der Server richtig reagiert. Dazu nahm man früher telnet … Auch telnet ist kein Kandidat mehr für verschlüsselte Protokolle.
Verbindung zu einem SSL geschützten Dienst
Eine Möglichkeit sich auf einen solchen Dienst zu verbinden bietet der Befehl
openssl s_client -connect <Zielrechner>:<Port>
Mit diesem Befehl kann man sich beispielsweise direkt auf einen per SSL geschützten IMAP Server (Port 993) verbinden und manuell Kommandos absetzen. Das ganze über eine SSL geschützte Verbindung – die nicht mitgeschnitten werden kann
Ganz wie früher mit telnet *freu*
Piwik Selbstversuch: Sehr schön – und diese Farben …
22. Feb
Durch einen Planetenartikel bin ich auf Piwik aufmerksam geworden (ja ok, Denny hatte mir schon vorher mal davon erzählt).
Da ich selbst einen Blog schreibe (Ohhh, echt?) interessiere ich mich natürlich schon dafür, wer sich so auf meiner Seite tummelt. Das ist rein fürs Ego, da sich auf meiner Seite ja keine Werbung befindet
Bisher hatte ich ein Plugin für WordPress genutzt – StatPress – welches mir einige Informationen lieferte, jedoch lange nicht so hübsch wie Piwik. Des Weiteren liefert Piwik auch einige Details mehr über den Browser bzw. das Surfverhalten.
Also gesagt getan Piwik auf meinem Webspace installiert. Dann ein WordPress Plugin (WP Piwik) dazu, welches mir das Editieren von Header / Footer Seiten abnimmt und mich lediglich nach der URL und einem authkey für die Piwik Installation fragt. Alles prima – es funktioniert und ständig trudeln neue Datensätze ein.
Warum nochmal?
Warum ich das ganze nochmal hier schreibe? Ich sehe das ganze ein wenig mehr aus Firmensicht. Es gibt kommerzielle Anbieter für diese Dienste, die teilweise mehr oder weniger genau das können, was man mit Piwik bewerkstelligen kann. Diese verlangen jedoch Geld dafür – naja sagen wir mal häufig.
Einer der bekannten Anbieter ist Google mit Analytics. Dieses Produkt ist sehr umfangreich und gut – man liefert jedoch Google auch einen Haufen an Daten die man vielleicht nicht unbedingt weitergeben möchte, bzw. müsste man an sich den Benutzer fragen ob diese Daten bei Google landen dürfen. Es ist klar, dass auch ich “meine Benutzer” nicht gefragt habe ob Ihre Daten in Piwik landen dürfen, jedoch werden die Daten bei mir anonymisiert und nicht weitergegeben. Wie das bei Google oder anderen aussieht …
Eine der Funktionen die für eine Firma interessant sein kann sind die “Ziele” in Piwik. In anderen Systemen kann das ganze auch “Kampagne” genannt werden. Mit dieser Funktion ist es möglich beispielsweise eine URL zu definieren, die genau “getrackt” werden soll. Ein Beispiel: Man erstellt einen Newsletter und möchte wissen, wie viele Leute diesen öffnen, bzw. einen speziellen Link anklicken. Das kann man erreichen in dem man ein Bild innerhalb des Newsletters hinterlegt und dieses Bild als Ziel in Piwik einrichtet. Damit kann genau verfolgt werden wie oft dieses Bild aufgerufen wurde. Das ganze funktioniert auch mit Downloads (Dateien) und mit quasi jeder URL einer Seite.
Das ganze natürlich nur neben den bereits bekannten Funktionen wie Anzahl Zugriffe (heruntergebrochen in diversen Levels), Browsertyp, Betriebssysteme, installierte Plugins, Bildschirmauflösung, Besucher nach Land, Besucher nach Datum / Zeit …….
Erweiterbar
Da Piwik mit Plugins arbeitet kann man mit Sicherheit auch eigene Erweiterungen entwickeln. Das hab ich jedoch nicht ausprobiert.
Was mir da eher in den Sinn kommt ist, dass man durch die MySQL Datenbank natürlich auf alle Daten zugreifen kann. Damit kann man – gerade wenn es um Unternehmen geht – eigene Reports nach ganz eigenen Vorstellungen erstellen.
Compiz: “Ein Stück vom Bildschirm”-Shot
22. Okt
Heute hab ich eine durchaus interessante Funktion in Compiz gefunden. Ich hatte erst vor kurzem wieder “das große” Effekt-Paket (Visuelle Effekte -> Extra) aktiviert. Damit funktioniert dann der Standard Shortcut zum Screenshot erstellen nicht mehr – das war mir bereits von vorherigen Versuchen bekannt.
Nun habe ich heute einen Screenshot benötigt und wollte prüfen wieso der Shortcut Alt+Druck nicht mehr funktioniert. Dabei bin ich über den ccsm (Compiz Einstellungs Manager) auf ein Modul “Bildschirmfoto” gestoßen.
Sobald dieses Modul aktiviert ist, kann man mit – per Default – gehaltener Super Taste einen Bereich auf dem Desktop mit der Maus markieren. Dieser wird dann als Screenshot1.png auf dem Desktop abgelegt. Da man meistens nur einen Teil des Bildschirms benötigt, finde ich diese Funktion wirklich nützlich. Die Tastenkombination kann natürlich innerhalb des Moduls geändert werden.
(x)clip (x)clip hurra: Mediathek Download v2
20. Mai
Viele Kommentare gab es zu “Mediathek Download” (s. Artikel) – auch mit vielen Tipps und Hinweisen. Vielen Dank dafür!!
Einen Verbesserungsvorschlag habe ich nun umgesetzt. Aicke hat vorgeschlagen den Weg für das Einfügen der .asx URL über xclip abzukürzen. Naja, da hat er auch Recht. Warum sollte man die URL erst kopieren und dann einfügen, wenn das eigentlich auch das Script übernehmen kann?!
Die neue Version hat also quasi 3 Modi:
- das Script fragt über einen Dialog nach der URL
- das Script wird über die Kommandozeile mit Parameter die URL gestartet (Debug)
- oder und neu: erst die URL in die Zwischenablage kopieren und dann das Script starten
Sobald sich in der Zwischenablage ein String mit der Endung .asx befindet, startet der Download ohne weitere Interaktion.
#!/bin/bash
#
# Download Script fuer .asx URLs (embedded .wmv)
#
# Download aus der ZDF Mediathek:
# - HTML Version der Mediathek aufrufen
# - Beitrag auswaehlen
# - Windows Media Player Link (DSL 1000 / DSL 2000) kopieren
# - Script aufrufen ... Download startet automatisch
# oder
# - HTML Version der Mediathek aufrufen
# - Beitrag auswaehlen
# - Windows Media Player Link (DSL 1000 / DSL 2000) kopieren
# - den Link als Parameter dem Script uebergeben (debug)
# oder (ohne xclip)
# - HTML Version der Mediathek aufrufen
# - Beitrag auswaehlen
# - Windows Media Player Link (DSL 1000 / DSL 2000) kopieren
# - Script aufrufen und Link einfügen
# - Download starten
#
# Prerequisites:
# - mencoder
# - curl
# - zenitiy
# - .asx URL (linked to a .wmv Stream)
# - xclip (optional)
#
# Ronny Becker, 01.2010
#
# Update: xclip integriert
# Ronny Becker, 05.2010
# grab URL
which xclip >/dev/null 2>&1 && CLIPBOARD="`xclip -o`"
if [[ $CLIPBOARD =~ \.asx ]]
then
URL=$CLIPBOARD
fi
if [ ! $1 ] && [ ! $URL ]; then
URL=`zenity --entry --text "Bitte die URL (.asx) eingeben:" --title "Mediathek Downloader" --width=400`
else
if [ ! $URL ]
then
URL=$1
fi
fi
# check if a URL was entered
if [ ${#URL} -eq 0 ]; then
zenity --error --title "Mediathek Downloader" --text="Keine gueltige URL ($URL)"
exit
fi
# get mms:... out of .asx
URL=`curl -s ${URL} | grep -o "mms:.*\.wmv"`
# get filename from the origin; without .wmv
OUTFILE=`basename $URL | sed 's/\.wmv//'`
# download and save; show progressbar
# if you need debugging, please comment out the progressbar function
# beginning at "| awk ..."; then you get all to console output
if [ $1 ]; then
mencoder -ofps 25 -oac lavc -ovc lavc -of mpeg -mpegopts format=dvd -vf harddup\
-srate 48000 -af lavcresample=48000,volnorm=1\
-lavcopts vcodec=mpeg2video:vrc_buf_size=1835:vrc_maxrate=15360:vbitrate=15360:keyint=15:acodec=ac3:abitrate=192\
-o "${OUTFILE}.mpg"\
$URL
else
mencoder -ofps 25 -oac lavc -ovc lavc -of mpeg -mpegopts format=dvd -vf harddup\
-srate 48000 -af lavcresample=48000,volnorm=1\
-lavcopts vcodec=mpeg2video:vrc_buf_size=1835:vrc_maxrate=15360:vbitrate=15360:keyint=15:acodec=ac3:abitrate=192\
-o "${OUTFILE}.mpg"\
$URL 2>&1 | awk -vRS="\r" '$1 ~ /Pos/ {gsub(/Pos:/," ");gsub(/%\)/," ");gsub(/ \(/," ");print $3"\n#Position
\t"$1"\\nFrame
\t"$2"\\nPercentage
\t"$3"%\\nFrame Rate
\t"$4"\\nTime Remaining
\t"$6; fflush();}' | zenity --progress --auto-kill --auto-close
fi
sftp Server Teil II – “Jail made easy”
08. Feb
Im ersten Teil haben wir das aktuelle openssh Paket für RHEL gebaut und sollten das auch mittlerweile installiert haben. Die Konfiguration des SSH-Servers hat sich nur wenig geändert. Es gibt eigentlich auch nur wenig neue Stellen die hier für uns interessant sind. Aber wir beginnen am Anfang:
Gruppe für sftp
Die Steuerung ob ein Benutzer in einer “gechrooteten” Umgebung landet wird über eine Gruppe gesteuert. Diese könnte man beispielsweise “sftpchroot” nennen. Diese Gruppe wird also angelegt:
groupadd sftpchroot
Benutzer anlegen
Als nächstes muss der Benutzeraccount angelegt werden, der sich auch in der Gruppe sftpchroot befindet:
useradd testuser -G sftpchroot
(Passwort setzen oder disablen, je nach dem ob sich per Key oder Passwort eingeloggt werden soll. Eine Shell benötigt der User auch nicht unbedingt.)
Benutzerhome anpassen
Das Benutzerhome (/home/testuser) muss von den Rechten her angepasst werden, damit das “chrooten” funktioniert. Gleichzeitig legen wir ein Verzeichnis (exchange) an, in welches der Benutzer über sftp schreiben darf.
chown root:sftpchroot /home/testuser mkdir /home/testuser/exchange chown testuser:testuser /home/testuser/exchange
Möchte man die Authentifizierung per Key machen, so muss folgendes ebenfalls eingerichtet werden:
mkdir /home/testuser/.ssh chown testuser:testuser /home/testuser/.ssh
Der Key kommt dann in die authorized_keys; die Rechte werden auf 0600 gesetzt und fertig.
Logging
Wir möchten genau sehen, welche Befehle auf dem SFTP Server abgesetzt werden. Daher muss auch das Logging aufgesetzt werden. Dazu ist es nötig, dass in jedem Home ein dev Verzeichnis angelegt wird (-> mkdir /home/testuser/dev). Dort wird dann vom dem Syslog Server des Vertrauens eine Pipe angelegt und damit ist das Logging im System.
Wir verwenden den syslog-ng (syslog-ng). Die Konfiguration dafür sieht wie folgt aus:
source s_sftpchroot {
# Please add each chrooted environment here
# These logs stay on the local machine; not sended to the syslog-server
unix-stream ("/home/testuser/dev/log");
};
destination d_sftplog { file("/var/log/sftp_chrooted.log"); };
log { source(s_sftpchroot); destination(d_sftplog); };
Jede Chroot Umgebung muss hier im Abschnitt “source” eingetragen werden. Damit fließen alle sftp logs in eine Datei. Alternativ kann natürlich auch für jeden Benutzer ein eigenes Log geschrieben werden. Welche Konfigteile dazu angepasst werden müssen sollte ersichtlich sein
Openssh Chroot
Nun zu dem früher schwierigsten, heute jedoch einfachsten Teil. Das Openssh Chroot. Ich zeige einfach die Konfiguration – it`s that easy !
Subsystem sftp internal-sftp Match group sftpchroot X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp -l VERBOSE ChrootDirectory /home/%u
Mit dieser Konfiguation am Ende der sshd_config (/etc/ssh) bekommt jeder Benutzer, der sich in der Gruppe sftpchroot befindet, besondere Optionen. Unter anderem wird lediglich der interne sftp-server (internal-sftp) zugelassen, der mit dem Parameter “-l VERBOSE” sämtliche Befehle des Benutzers loggt. Fertig.
Aufzeichnen von Administratortätigkeiten II
05. Okt
“timing_shorter.sh”
Cooler Name für etwas ganz einfaches. Man wird schnell feststellen, dass das abspielen einer Aufnahme schnell “langweilig” wird, da alle Pausen in voller Länge aufgezeichnet wurden. Wenn also jemand 30 Minuten lang nichts macht, dann sind diese 30 Minuten 1-1 in der Aufzeichnung.
Um dieses Problem zu umgehen läuft vor dem Cleanup Script der “timing_shorter”. Dieses Script erkennt alle Zeilen innerhalb der .timing Datei die > 3 Sekunden sind; diese werden auf 3 Sekunden gekürzt. Damit sind die Pausen maximal 3 Sekunden lang.
#!/bin/bash
# This reduces the time for typescript
# pauses (when user gives no input and
# system gives no output) to max 3 secs
# by changing the .timing file.
#
# No changes to the typescript !
#
# Ronny Becker, 09.2009
#set -x
for TIMINGFILE in `find /adminmon/timing/ -mmin +300`
do
TIMINGLINE=0
cat $TIMINGFILE | while read LINE
do
(( TIMINGLINE++ ))
if [ ${LINE%\.*} -gt 3 ]; then
sed -i "${TIMINGLINE}s/^.*\./3\./" $TIMINGFILE
fi
done
done
Das Script sollte vor dem Cleanup laufen.
Das Cleanup Script
Wir möchten die Dateien die während einer Aufzeichnung entstehen verwaltbar machen. Dazu sollen die zusammengehörigen Dateien gepackt werden – die Originale werden dann gelöscht. Womit das Problem des Zugriffs ( auf die .timing Dateien ) auch spätetstens gelöst ist.
#!/bin/bash
ADMINMON_PATH="/adminmon"
for SCRIPTFILE in `find ${ADMINMON_PATH}/output/ -mmin +300`
do
MAINNAME=`basename $SCRIPTFILE`
MAINNAME=${MAINNAME%\.*}
echo $SCRIPTFILE
echo $MAINNAME
if [ -e ${ADMINMON_PATH}/timing/${MAINNAME}.timing ]; then
tar -czf ${ADMINMON_PATH}/pairing/${MAINNAME}.tgz ${ADMINMON_PATH}/timing/${MAINNAME}.timing $SCRIPTFILE
if [ $? != 0 ]; then
echo "Fehler bei tar $MAINNAME"
continue
else
rm -f ${ADMINMON_PATH}/timing/${MAINNAME}.timing $SCRIPTFILE
fi
else
tar -czf ${ADMINMON_PATH}/pairing/${MAINNAME}_notiming.tgz $SCRIPTFILE
if [ $? != 0 ]; then
echo "Fehler bei tar $MAINNAME"
else
rm -f $SCRIPTFILE
fi
fi
done
Das Script einfach per cron alle X ausführen und gut.
Aufzeichnen von Administratortätigkeiten
28. Sep
Nahezu jeder Admin ist heute mit dem Problem der “Kontrollen” und “Nachweispflicht” konfrontiert. Dabei sind Changes / Changemanagement der Anfang und das komplette “Monitoring der Administratortätigkeiten” die logische Konsequenz. Dazu werden beispielsweise auf einem Terminalserver alle Sitzungen per Video aufgezeichnet. Was ich nun suchte war eine Möglichkeit die kompletten Bildschirmausgaben einer SSH Sitzung aufzuzeichnen. Damit könnten dann sämtliche Befehle … recht einfach nachvollzogen werden, bzw. sogar zur Fehlerfindung genutzt werden wenn der Admin Unsinn gemacht hat und selbst nachvollziehen möchte was er eigentlich gemacht hat.
Ob das ganze sinnvoll oder nicht ist, das soll an dieser Stelle nicht diskutiert werden. Es geht darum eine Lösung für diese Anforderung zu finden.
Ich habe lange nach einer Lösung gesucht. Die gibt es auch. Es sind die Boxen zweier Hersteller, die den kompletten ssh Traffic, teilweise sogar inklusive X11 und auch anderer Protokolle aufzeichnen. Schaut man sich jedoch die Preise für eine solche Lösung an, dann überlegt man sich doch zweimal, ob man wirklich so viel Geld dafür ausgeben möchte / muss. Eines vorweg: Die Boxen wurden von mir nicht getestet, da das ganze preislich völlig uninteressant war.
Also wurde Dr. Google bemüht und auch diverse Kollegen wurden gefragt – leider nirgendwo eine wirkliche Lösung.
Naja, wie man es so aus der Community gewöhnt ist wird sich dann eben selbst hingesetzt und versucht etwas zu “bauen”. Ganz neu erfinden musste ich das ganze nicht. Es gab – wie so schön unter Linux – schon diverse Möglichkeiten und Tools. Dabei ist eines das zentrale und wichtigste: script. Mit Hilfe von script ist es möglich z.B. Befehlsfolgen aufzuzeichnen inkl. der Ausgabe. Wobei die Ausgabe ebenfalls alls Steuerzeichen für die Ausgabe enthällt. Im Endeffekt entsteht ein “Video” der Ausgabe, welches man beispielsweise zum Support schicken kann.
Das Programm um die Aufnahmen zu erstellen und abzuspielen war also gefunden. Als nächstes musste eine Lösung gefunden werden um die Aufzeichung automatisch und auch sicher zu starten. Es bringt nur relativ wenig wenn ich von einem Benutzer erwarte einen Befehl zu starten wenn er sich anmeldet, bzw. wäre es auch ein wenig albern das ganze als bsp. SOX konformes Monitoring zu deklarieren, wenn ich einfach den Prozess beenden kann und dem entsprechend dann machen kann was ich möchte ohne dass das ganze aufgezeichnet wird. Dazu wurden diverse Schritte nötig die im folgenden Howto enthalten sind.
Prerequisites
- jumphost (Server, über den alle ssh Zugriffe auf Server gestartet werden; dieser Host sollte der einzige sein, der Zugriff auf die Server hat (iptables, …))
- script (normalerweise in den linux-utils Paketen enthalten)
- das wars schon
Technische anpassungen
Anpassen der /etc/bashrc
Um den Benutzern nach der Umstellung weiterhin zu erlauben eigene alias Definitionen, bzw. Funktionen zu setzen, wird in der /etc/bashrc eine Kleinigkeit hinzugefügt:
# additional aliases to be set by the user
if [ -e /home/$USER/.bashrc_user ]; then
. /home/$USER/.bashrc_user
fi
Dadurch kann jeder Benutzer sich in der Datei ~/.bashrc_user seine eigenen Definitionen hinterlegen.
Anpassen der ~/.bashrc
Meldet ein Benutzer sich am Jumphost an, so muss das Programm “script” automatisch gestartet werden. Dies wird über die ~/.bashrc realisiert. Diese sieht aus wie folgt:
# jumphost configuration
#
# If you want to set own alias definitions, please
# create a file .bashrc_user in your homedirectory !!
#
script -c "/bin/bash --rcfile /etc/bashrc" -f -q -t 2>/adminmon/timing/`date +%Y%m%d_%H%M%S`-$$-$USER.timing /adminmon/output/`date +%Y%m%d_%H%M%S`-$$-$USER.script
wait
exit
Verzeichnisse
Die Daten (.script, .timing) werden in eigenen Verzeichnissen gesammelt. .script in einem Verzeichnis, welches nur von root gelesen und beschrieben werden darf, und eines für die .timing Dateien auf die der Benutzer kompletten Zugriff hat. Eigentlich könnte man sagen, dass doch beide Dateien in einem Verzeichnis liegen könnten, auf die der Benutzer selbst keinen Zugriff hat – richtig. Leider funktioniert das nicht mit script. script schreibt die Bildschirmausgaben per Parameter in eine Datei – also mit den Rechten des Benutzerkontextes unter dem script gestartet wird. Die Timing Informationen werden jedoch als Ausgabe auf STDERR von script ausgegeben und umgelenkt (s. Befehl in der .bashrc) – die .timing Datei wird also mit den Rechten des Benutzers geschrieben. script wird während der Konfiguration (s.u.) die setuid root Rechte bekommen. Dadurch wird das Programm zwar vom Benutzer gestartet, allerdings mit root Rechten. Das gilt wie eben beschrieben für die Ausgabedatei der Bildschirmdaten, jedoch nicht für die Umleitung der Timing Informationen. Daher die Verzeichnisse mit den verschiedenen Rechten.
[root@machine adm32]# ls -la /adminmon/
total 20
drwxrwxrwx 4 root root 4096 Sep 25 11:05 .
drwxr-xr-x 25 root root 4096 Sep 25 11:05 ..
drwx------ 2 root root 4096 Sep 25 14:22 output
drwxrwxrwx 2 root root 4096 Sep 25 14:22 timing
script setuid root
Aus oben genanntem Grund muss /usr/bin/script das setuid root Bit bekommen.
[root@machine adm32]# chmod u+s /usr/bin/script
Überwachungsscript
Das Überwachungsscript ist für die Überwachung der angemeldeten Benutzer verantwortlich. Überwachung in dem Sinne, als dass jeder Benutzer einen laufenden script Prozess besitzen muss – ansonsten wird er automatisch abgemeldet.
#!/bin/bash
# Security Script to check if all users are
# monitored by script to get typescripts of
# their doing.
#
# If a user runs a session without this, the
# user session will be terminated.
#
# Ronny Becker, 09.2009
#set -x
NOT="root bin daemon adm shutdown halt mail uucp operator ftp nobody dbus avahi mailnull smmsp nscd ntp vcsa rpc rpcuser nfsnobody sshd pcap haldaemon rpm xfs gdm"
# do a dumb loop
while [ 0 == 0 ]; do
# get processlist
PSDATA=`ps a -o user,tname,pid,command | sed 's/ *//'`
# users online ?
# to get unique users, set username = username(p)tty;
for ACTUSER in `who | awk '{print $1$2}'`; do
# if the user is in NOT list - continue
if [[ $NOT =~ ${ACTUSER%pts*} ]]; then
continue
else
# get proc information
DATA=`echo "$PSDATA" | grep "pts${ACTUSER#*pts}"`
if [[ $DATA =~ script\ -c\ /bin/bash\ --rcfile\ /etc/bashrc\ -f ]]; then
# delete /dev/null if you want to have more logging
echo "$ACTUSER: Proc found" > /dev/null
else
echo "$DATA" | while read PROCDATA; do
if [[ $PROCDATA =~ \-bash ]]; then
PID2KILL=`echo "$PROCDATA" | awk '{print $2}'`
# check if proc ist running > 10 secs
TIMEDIFF=$((`date +%s` - `stat --format=%Z /proc/${PID2KILL}`))
if [ $TIMEDIFF -lt 5 ]; then logger -t script_security -p local0.notice "User: ${ACTUSER%pts*} Msg: lt 5 secs without"; continue; fi
echo "Diese Session wird nun geschlossen, da die Protokollierung nicht mehr sichergestellt ist." | write ${ACTUSER%pts*}
sleep 3
kill -9 $PID2KILL
logger -t script_security -p local0.warning "User: $ACTUSER Msg: User killed PID: $PID2KILL"
fi
done
# delete /dev/null if you want to have more logging
echo "$ACTUSER: No proc found" > /dev/null
fi
fi
done
sleep 5;
done
Das Script überprüft alle 5 Sekunden den Status der Benutzer und loggt eventuelle “Zwischenfälle” per syslog. Zusätzlich müssen Benutzer mind. 5 Sekunden lang im System angemeldet sein, bevor die Session geschlossen wird. Das kommt daher, dass ein Benutzer den script Befehl erst während der Anmeldung startet und ansonsten die Session beendet werden könnte bevor er wirklich angemeldet ist.
Dieses Script muss quasi immer im Hintergrund laufen (als root). Als Daemon überwacht es dann jede Session.
Hilfe von cfengine
Bei einigen der “tasks” kann cfengine gute Dienste leisten. z.B. wenn es darum geht die ~/.bashrc eines jeden Benutzers zu prüfen oder die Verzeichnissrechte unterhalb von /adminmon. Desweiteren kann cfengine prüfen ob das Überwachungsskript läuft.
Abspielen einer Aufnahme
Aufnahmen werden mit Hilfe von “scriptreplay” abgespielt.
scriptreplay 20090925_142228-8287-adm31.timing 20090925_142228-8287-adm31.script
Um eine Aufnahme während der Wiedergabe anzuhalten, genügt der Shortcut STRG+S (Pause); zum Fortfahren STRG-Q.
Noch offen
- Cleanup Script erstellen (die zusammengehörigen .script / .timing Dateien sollten in ein .tar gepackt werden)
- Script erstellen um größere Wartezeiten in denen nichts passiert zu minimieren. Dazu werden einfach alle Werte (z.B.) > 5 innerhalb der .timing Datei auf 5 gesetzt.






