Sudo precedido de una acción o comando se utiliza para dar permisos de administrador a los usuarios para ejecutar tareas con ciertos privilegios sin necesidad de conocer la contraseña de administrador ni ser root: mantenimiento, instalación de aplicaciones, etc. Ahora con sudoreplay, reproduce tus sesiones sudo.
Puedes reproducir esas sesiones y ver que acciones han ejecutado. No es para espiar, es más bien para cuando algo falle repasar donde se ha cometido el fallo, también puedes reproducir tus propias sesiones sin necesidad de tener que acordarte de darle al REC cada vez que ejecutas un comando precedido de sudo.
Pasos de configuración:
1) Editamos el archivo sudo con el comando visudo (estaremos editando /etc/sudoers)
# Visudo
2) Añadimos la siguiente directiva
Defaults log_output
Ahora cada vez que ejecutemos un comando anteponiendo sudo quedará registrado.
Para ejecutar estas reproducciones, tenemos que ser root.
Para listar todas las grabaciones que se hayan realizado:
sudoreplay -l
root@linux:/home/fer# sudoreplay -l
may 10 12:19:48 2015 : fer : TTY=/dev/pts/0 ; CWD=/home/fer ; USER=root ; TSID=000006 ; COMMAND=/usr/bin/vim /etc/apache2/apache2.conf
may 10 12:20:31 2015 : fer : TTY=/dev/pts/0 ; CWD=/home/fer ; USER=root ; TSID=000007 ; COMMAND=/bin/su
Para visualizar la grabación que queremos reproducir sólo hemos de especificar el TSID, por ejemplo:
sudoreplay 000004
Pero también podemos filtrar por usuario, en este caso el usuario es pinkpanth:
sudoreplay -l user fer
Por comando, pongamos como ejemplo nano:
sudoreplay -l command nano
Por usuario y comando:
sudoreplay -l user fer command nano
A partir de una fecha, en ese caso usaremos fromdate y el MES/DÍA/AÑO:
sudoreplay -l fromdate 27/08/2012
Hasta una fecha, con todate y el formato de fecha igual que el anterior, aunque mencionar también que se puede especificar en otros formatos y también tener en cuenta que en este caso no incluye el día que especificamos, es decir que si indicamos hasta el 27/08/2012 este no lo muestra, así que tendremos que poner un día más:
sudoreplay -l todate 08/28/2012
Pero también podemos combinarlos todos la vez, listando todos los archivos del usuario pinkpanth que haya ejecutado el comando nano a partir del 29/08/2012:
sudoreplay -l user fer command nano fromdate 08/29/2012
Cuando no nos interese seguir grabando estas sesiones de sudo, deberemos volver a editar el archivo /etc/sudoers y volver a comentar la línea que descomentamos ó añadimos antes.
# Defaults log_output
Tiene algunas opciones más, no las he probado todas, pero si os interesa:
man sudoreplay
sudoreplay -h
Be the first to comment