Como registrar comandos dentro de um “sudo su -”?

Como você está no Ubuntu 12.04, dê uma olhada nas habilidades de registro de E/S ativadas por meio das opções log_inpute log_output.

log_input

Se definido, sudoexecutará o comando em um pseudo tty e registrará todas as entradas do usuário. Se a entrada padrão não estiver conectada ao tty do usuário, devido ao redirecionamento de E/S ou porque o comando faz parte de um pipeline, essa entrada também será capturada e armazenada em um arquivo de log separado.

A entrada é registrada no diretório especificado pela iolog_diropção ( /var/log/sudo-iopor padrão) usando um ID de sessão exclusivo incluído na linha de log normal do sudo, prefixado com TSID=. A iolog_fileopção pode ser usada para controlar o formato do ID da sessão.

Observe que a entrada do usuário pode conter informações confidenciais, como senhas (mesmo que não sejam exibidas na tela), que serão armazenadas no arquivo de log sem criptografia. Na maioria dos casos, registrar a saída do comando via log_output é tudo o que é necessário.

log_output

Se definido, sudoexecutará o comando em um pseudo tty e registrará todas as saídas enviadas para a tela, semelhante ao comando script(1). Se a saída padrão ou erro padrão não estiver conectado ao tty do usuário, devido ao redirecionamento de E/S ou porque o comando faz parte de um pipeline, essa saída também será capturada e armazenada em arquivos de log separados.

A saída é registrada no diretório especificado pela iolog_diropção ( /var/log/sudo-iopor padrão) usando um ID de sessão exclusivo incluído na linha de log normal do sudo, prefixado com TSID=. A iolog_fileopção pode ser usada para controlar o formato do ID da sessão.

Os logs de saída podem ser visualizados com o utilitário sudoreplay(8), que também pode ser usado para listar ou pesquisar os logs disponíveis.

IMPLEMENTAÇÃO: Versão Sudo pelo menos: 1.7.4p4 necessária.

/etc/sudoersmodificação: tudo o que você precisa fazer é adicionar duas tags a todas as entradas necessárias do sudoers (onde "su" é especificado, com comando ou alias). LOG_INPUT e LOG_OUTPUT.

Exemplo:

%admins         ALL=(ALL) NOPASSWD: LOG_INPUT: LOG_OUTPUT: ALL

Adicione a seguinte estrutura de diretório de log padrão a sudoers:

Defaults iolog_dir=/var/log/sudo-io/%{user}

Seu grepao fazer sudo su -falha porque você não está executando echo 1234567zz, você está executando su -, o que inicia um shell. O shell está executando o seu arquivo echo.

Isso é deliberado, e registrar cada comando executado inundaria seu syslog com informações inúteis (geralmente há muitos programas executados nos bastidores que você normalmente não vê).

Se você mudar seu grep para grep 'COMMAND=/bin/su -' *você verá.

---

sudo su -também é um uso inútil de su. sudo -ifaz a mesma coisa.

Aumentando a complexidade, aqui estão três maneiras de registrar os comandos emitidos dentro do "sudo su -":

1. Confie no histórico de comandos bash
2. Instale um wrapper de registro executivo
3. Use o auditd do SELinux

Quanto ao que é adequado, realmente depende do que você está tentando realizar com o registro.

1) Histórico de comandos Bash

Você gostaria de configurar o recurso de histórico para garantir a manutenção de linhas suficientes, não sobrescrever sessões diferentes, não ignorar comandos e carimbos de data/hora apropriados. (Veja variáveis ​​HIST* nomanual do bash). Facilmente subvertido editando o arquivo de histórico, manipulando o ambiente ou executando outro shell.

2) wrapper executivo

Registrador Snoopyé um. Adicione uma verificação de /etc/profileque a biblioteca do logger está no mapa de memória do processo ( /proc/<pid>/maps) e, caso contrário, defina LD_PRELOADe reinicie (com exec $SHELL --login "$@"). Alternativamente, você pode adicionar uma entrada em /etc/ld.so.preload com $LIB/snoopy.sooucaminho(s) equivalente(s)às suas versões de 32/64 bits do snoopy.so.

Embora mais difícil, a LD_PRELOADversão da variável de ambiente acima ainda pode ser subvertida pela manipulação do ambiente de execução para que o código snoopy não seja mais executado.

O Syslog deve ser enviado off-box para que o conteúdo seja confiável.

3) auditado

Um pouco mais simples de configurar do que o wrapper execve, mas mais difícil de extrair as informações. Esta é a resposta à pergunta que você provavelmente está fazendo: "Existe uma maneira de registrar o efeito que o usuário teve em um sistema após a emissão sudo su -". O Syslog deve ser enviado off-box para que o conteúdo seja confiável.

EsseResposta de falha no servidorparece ser uma configuração bastante abrangente para uso com auditd.

Existem algumas outras sugestões para umpergunta semelhante sobre serverfault.

Como outros já disseram, sudonão posso fazer isso.

Em vez disso, use auditd. Se você quiser fazer logontudofeito pelo root (incluindo, por exemplo, coisas feitas pelo crontab), use isto:

sudo auditctl -a exit,always -F euid=0

ETA: Observe que registrar tudo afetará o desempenho, então você provavelmente desejará limitá-lo um pouco. Veja man auditctlexemplos.

Se você deseja apenas registrar syscalls onde o uid de login original não é root, use isto:

sudo auditctl -a exit,always -F euid=0 -F auid!=0

Os logs geralmente terminarão em /var/log/audit/audit.log. Você pode pesquisá-los com ausearch.

Há mais informações nas páginas de manual de auditctl, audit.rulese ausearch.