Kommandozeilen loggen

[Anonymous]

Hallo erstmal an alle - tolles forum :)
Und damit ich nicht zu den nullpostern gehöre will ich auch gleich mal meine erste frage loswerden:

Um bestimmte sachen zu installieren/konfigurieren, die ich selber einfach nicht hinbekomme muß ich jemanden meine root rechte abtreten. Ich möchte dann aber hinterher en detail nachvollziehen können was derjenige auf dem server veranstaltet hat, also jegliche shell eingaben loggen.

Daß es 'ne bash history gibt ist mir bekannt, aber die lässt sich auch in nullkommanix löschen. Gibt es da 'ne möglichkeit das zu realisieren ohne das 'root' gleich merkt daß er unter beobachtung steht?

Grüße,
Podi

[captaincrunch]

Wenn du klar eingrenzen kannst, welche Aufgaben du abtreten willst, würde ich dir sudo ans Herz legen.

[daemotron]

Gibt es da 'ne möglichkeit das zu realisieren ohne das 'root' gleich merkt daß er unter beobachtung steht?

Damit begibtst Du Dich auf sehr dünnes Eis. Die Protokollierung sämtlicher Aktivitäten ist zulässig, wenn die betroffenen Personen vorher darüber informiert wurden (ähnlich wie bei Videoüberwachung, z. B. per SSH-Banner).

Wenn Du der entsprechenden Person so wenig vertraust, solltest Du ihr auch nicht den Zugriff als root auf Dein System erlauben. Als root hat er oder sie ohnehin die besten Voraussetzungen um festzustellen, was Du da treibst - und heimliches Key-Logging ist schon fast ein Garant dafür, dass er oder sie Dir so schnell nicht mehr helfen wird oder sich erst recht mit einem kleinen "Scherz" bedankt...

[Anonymous]

klar eingrenzen kann ich das leider nicht, es geht um die installation von einem script und hunderten komponenten die mit dem script angesprochen werden müssen. und da ich mich dann um eventuelle probleme auch selber kümmern möchte muß ich eben 1:1 nachvollziehen was gemacht worden ist.

für die rechtlichen belange interessiere ich mich eher weniger, ich wäre dann doch eher an der technischen umsetzung dieses "heimlichen keyloggings" (hört sich das spannend an :-D ) interessiert.

Kann das jemand?

[captaincrunch]

Ich mag in dieser Hinsicht ja recht altmodisch sein, aber wenn so wenig Vertrauen da ist, dass es mir z.B. nicht ausreicht, ihm über eine Screen-Session (Hint) "über die Schulter" zu schauen, bekäme derjenige definitiv keinen Rootzugriff von mir.

Ansonsten könntest du dir als "Overkill"-Lösung mal Sebek anschauen.

[Roger Wilco]

GrSecurity hat ebenfalls Vorrichtungen, um alle Aufrufe (exec inkl. Parameter) zu loggen.
Eine weniger aufwendige Lösung wäre script (Teil von util-linux). Das setzt allerdings die Kooperation des Gegenüber voraus (so dass er das Programm nicht beendet).

[toberkel]

... dass es mir z.B. nicht ausreicht, ihm über eine Screen-Session (Hint) "über die Schulter" zu schauen, bekäme derjenige definitiv keinen Rootzugriff von mir.
...

Wie geht das denn mit der Screen-Session?

BTW: Ich warte auf einen neuen Blogeintrag ;)

mfg,

toberkel

[oxygen]

-x

[captaincrunch]

-x Attach to a not detached screen session. (Multi display mode).

Ansonsten: dann kann ich ja froh sein, heute morgen nach knapp einem Monat endlich mal wieder was ins Blog gepinnt zu haben. ;)