Como logar todos os comandos executados no Linux incluindo seus argumentos (parâmetros)? [duplicado]

3

Como posso registrar todos os comandos executados no Linux, incluindo seus argumentos de linha de comando (parâmetros)?

Então, por exemplo, se alguém executar:

rm -rf /tmp/foo

Eu veria uma entrada de log semelhante a esta:

2016-01-01 18:00:00 user=bob command='rm -rf /tmp/foo'

E não apenas isso:

2016-01-01 18:00:00 user=bob command='rm'

Eu só consegui encontrar usos de auditd que não registram argumentos de linha de comando (parâmetros). Existe uma maneira de configurar corretamente auditd para gravar isso? Parece que o FreeBSD tem uma maneira de definir um argv policy , mas isso não parece estar presente nos derivados do Debian.

    
por Neil 21.03.2016 / 20:47

2 respostas

1

Você já tentou enviar um histórico para o syslog?

Um dos muitos exemplos

link

    
por 22.03.2016 / 05:27
1

O Auditd é realmente legal :) Com a configuração apropriada, você pode ver todos os eventos que quiser (eu vou dar um exemplo de um dos meus servidores) Então, como você pode ver, na minha saída ausearch, você pode ver que / bin / rm foi invocado e também os arquivos que foram excluídos (eu mudei os caminhos reais para / tmp / X * - e como você pode ver, leva todos os argumentos a1 a a8). Se é isso que você quer, eu posso te dar algumas das minhas configurações e também alguns guias que usei para configurar o auditd.

time->Thu May 28 11:35:01 2015

type=PATH msg=audit(1432812901.638:4583880): item=1 name=(null) inode=57348 dev=08:02 mode=0100755 ouid=0 ogid=0 rdev=00:00

type=PATH msg=audit(1432812901.638:4583880): item=0 name="/bin/rm" inode=8252 dev=08:02 mode=0100755 ouid=0 ogid=0 rdev=00:00

type=CWD msg=audit(1432812901.638:4583880):  cwd="XXX"

type=EXECVE msg=audit(1432812901.638:4583880): argc=9 a0="rm" a1="-r" a2="/tmp/*" a3="/tmp/XX" a4="/tmp/XXX" a5="/tmp/XXXX" a6="/tmp/XXXXX" a7="/tmp/XXXXXXX" a8="/tmp/XXXXXXX"

type=SYSCALL msg=audit(1432812901.638:4583880): arch=c000003e syscall=59 success=yes exit=0 a0=1d27830 a1=1d27e20 a2=1d26870 a3=7fff70cfb2d0 items=2 ppid=10230 pid=10231 auid=1105 uid=1105 gid=1005 euid=1105 suid=1105 fsuid=1105 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=35220 comm="rm" exe="/bin/rm" key=(null)
    
por 22.03.2016 / 12:34