انجمنهای فارسی اوبونتو
کمک و پشتیبانی => شبکه و سرویس دهندهها => نویسنده: پیام در 06 اردیبهشت 1401، 01:43 بظ
-
سلام و خسته نباشید به دوستان عزیز
یه مشکلی پیش اومده که واقعا نمی دونم چیکارش باید کرد
auditd یک لاگ مونیتورینگه که برای ارسال به SIEM استفاده می شه و میشه رولهایی رو توش ست کرد که ارسال لاگ را اختصاصی تر کنی
مشکل اینجاست که وقتی میخوای یک کامندی رو اجرا کنی مثل این
cat /etc/shadow > /tmp/text.txtقسمت بعد از ریدایرکشن رو نشون نمیده یعنی
> /tmp/text.txtنشون نمیده
میشه پروفایل رو تغییر داد و کاری کرد که نشون بده مثل این راه حل
Edit /etc/profile and add the following lines to the bottom of the file:
# command line audit logging
function log2syslog
{
declare COMMAND
COMMAND=$(fc -ln -0)
logger -p local1.notice -t bash -i -- "${USER}:${COMMAND}"
}
trap log2syslog DEBUG
Save and exit /etc/profile
Edit /etc/rsyslog.conf and add the following lines to the bottom of the file:
# command line audit logging
local1.* -/var/log/auditlogging
Save and exit /etc/rsyslog.conf
#systemctl restart rsyslog
/var/log/auditlogging
میشه اون کامند رو دید یعنی کاملش میکنه
مشکل اینه که وقتی شل رو عوض میکنی مثلا میزاری zsh یا csh دیگه چیزی نشون نمیده
-
فکر کنم مشکل از دستور fc باشه. مطمئن نیستم.
این چیزی که الان میگم، فکر نکنم بتونه مشکل رو حل کنه.
میتونید تگی که توی گزارشها نمایش داده میشه رو نسبت به پوستهای (shell) که استفاده شده تنظیم کنید. اینجوری:
logger -p local1.notice -t "${SHELL}" -i -- "${USER}:${COMMAND}"
اگه میخواهید فقط اسم پوسته نمایش داده بشه، میتونید مقدار SHELL رو بدید به basename. اینجوری:
logger -p local1.notice -t "$(basename "${SHELL}")" -i -- "${USER}:${COMMAND}"
به غیر از چیزهای بالا فکر کنم خیلی راحت بشه این چیزی که پیاده کردید رو دور زد. مثلا برای bash اینجوری:
env bash --norc --noprofile
-
امکان دور خوردنش خیلی زیاده و طبق موردی که شما عنوان کردید هم قابل دور زدنش وجود داره
آیا کسی نرم افزار جایگزین داره ؟