solution accounting sur Linux

voran · 23/07/2011, 23h30

Bonjour,

Je cherche un moyen de consulter les commandes exécutées par les utilisateurs.

- Il y a bien .bash_history, mais l'utilisateur peut le modifier ou le purger à l'aide de history -c.
- Il y a lastcomm, mais il n'affiche que la commande sans les arguments.

Quelqu'un connait il une autre solution ?

frp31 · 24/07/2011, 18h29

tu peux logguer les processus par utilisateur avec la commande complete a partir de la commande ps

tu peux aussi pomper les bash_history tout le temps donc tu sais tout ce que fait l'utilisateur même si il le purge ....

ou faire les deux mais pourquoi un tel espionnage ? ça semble etre une erreur d'analyse de situation encore ...?!

si c'est pour suivre les activités réalisées et identifier leurs erreurs c'est pas du tout la bonne méthode, la bonne méthode est des les emprisonner dans leurs roles et repertoires pour qu'il n'aient pas d'autres commandes lançables que celles qu'ils doivent lancer et encore uniquement dans leurs repertoires.

voran · 26/07/2011, 11h45

Il ne s'agit pas d'espionnage pure

mais le but est de pouvoir diagnostiquer en consultant l'historique des commandes si l'une d'elle peut-être à l'origine d'un éventuel futur disfonctionnement.

Il s'agit d'un serveur de dev et non de prod. Pour diverses raisons, je ne peux pas vraiment limiter les commandes.

De plus, les utilisateurs ne sont pas experts et font partie d'une infrastructure externe ... mais connus

Bref, comme d'hab, j'essaie juste de limiter les éventuels futurs dégâts ... et conflits

zipe31 · 26/07/2011, 12h10

Salut,

La commande "script" en complément pourrait s'avérer une bonne solution, non ?

Marc3001 · 26/07/2011, 12h23

Citation:

Envoyé par frp31

tu peux aussi pomper les bash_history tout le temps donc tu sais tout ce que fait l'utilisateur même si il le purge ....

C'est pas mal ça!

thierry.chich · 28/07/2011, 09h27

S'il s'agit de commandes pouvant mettre le serveur en difficulté, ce sera à 99% des commandes root, ou systèmes (www-data et autres).
La solution, c'est sudo. Toutes les commandes tapées en sudo sont logguées. C'est bien plus prorpre, et au cas où, tu pourras limiter les droits donnés aux utilisateurs.

gangsoleil · 02/08/2011, 10h27

Bonjour,

Petit point legal avant toute chose : c'est illegal de logger les actions utilisateurs en France sans que ceux-ci ne soient prevenus.
S'ils sont prevenus, alors il est illegal de parser ces logs de maniere non-automatique (tu n'as pas le droit de les regarder a la main).

Sinon, lastcomm est en fait un extracteur pour acct, dont la seule version qui permette de logger plus que les 8 premiers caracteres et les arguments est d'utiliser des versions securisees de l'OS, comme Trusted Solaris par exemple.

Autre solution : une surcouche aux shells, qui log les commandes avant de les executer. Ca ralentit un peu, et ca n'empeche pas de lancer soi-meme un shell "propre".

La solution via sudo necessite de supprimer tous les droits des utilisateurs de toutes les commandes, ce qui va te prendre beaucoup de temps et de ressource.

delovan · 03/08/2011, 14h45

Citation:

Envoyé par gangsoleil

Bonjour,

Petit point legal avant toute chose : c'est illegal de logger les actions utilisateurs en France sans que ceux-ci ne soient prevenus.
S'ils sont prevenus, alors il est illegal de parser ces logs de maniere non-automatique (tu n'as pas le droit de les regarder a la main).

Bonjour,

Cela m'intéresse. Puis-je avoir vos sources ?

Merci.

gangsoleil · 03/08/2011, 17h53

Les sources sont plusieurs avocats. Mais apres, comme le droit n'est qu'une affaire d'interpretation de la loi, il est tout a fait possible d'en trouver qui diront le contraire. De plus, chaque cas etant un peu different du precedent, la loi peut s'appliquer differement dans chaque cas.

Exemple concret en reseau : un routeur/firewall/autre peut, legalement, logger les sites visites par les utilisateurs d'un reseau, avec les utilisateurs par site.
L'administrateur n'a pas le droit de regarder ces logs.
Il est legal que le routeur/firewall/autre envoie automatiquement des mails de "pas bien" aux utilisateurs, par rapport a une liste de sites predefinis (par exemple). L'administrateur ne peut pas etre en copie de ces mails.
L'administrateur a le droit de recevoir, par exemple, le top 10 des sites les plus visites, mais pas avec la liste des IP/utilisateurs qui y sont alles.

23/07/2011, 23h30	#1
voran Membre confirmé Inscription : janvier 2005 Messages : 232 Détails du profil Informations personnelles : Localisation : France, Maine et Loire (Pays de la Loire) Informations forums : Inscription : janvier 2005 Messages : 232 Points : 239 Points : 239	solution accounting sur Linux Bonjour, Je cherche un moyen de consulter les commandes exécutées par les utilisateurs. - Il y a bien .bash_history, mais l'utilisateur peut le modifier ou le purger à l'aide de history -c. - Il y a lastcomm, mais il n'affiche que la commande sans les arguments. Quelqu'un connait il une autre solution ?
	10

24/07/2011, 18h29	#2
frp31 Expert Confirmé Sénior francois Ingénieur systèmes et réseaux Inscription : juillet 2006 Messages : 3 536 Détails du profil Informations personnelles : Nom : francois Âge : 35 Localisation : France, Haute Garonne (Midi Pyrénées) Informations professionnelles : Activité : Ingénieur systèmes et réseaux Secteur : Aéronautique - Marine - Espace - Armement Informations forums : Inscription : juillet 2006 Messages : 3 536 Points : 7 749 Points : 7 749	tu peux logguer les processus par utilisateur avec la commande complete a partir de la commande ps tu peux aussi pomper les bash_history tout le temps donc tu sais tout ce que fait l'utilisateur même si il le purge .... ou faire les deux mais pourquoi un tel espionnage ? ça semble etre une erreur d'analyse de situation encore ...?! si c'est pour suivre les activités réalisées et identifier leurs erreurs c'est pas du tout la bonne méthode, la bonne méthode est des les emprisonner dans leurs roles et repertoires pour qu'il n'aient pas d'autres commandes lançables que celles qu'ils doivent lancer et encore uniquement dans leurs repertoires. __________________ Communauté OpenBSD francophone Communauté de collectionneur d'ordinateurs antiques
	10

26/07/2011, 12h10	#4
zipe31 Expert Confirmé Inscription : janvier 2011 Messages : 970 Détails du profil Informations personnelles : Localisation : France, Haute Garonne (Midi Pyrénées) Informations forums : Inscription : janvier 2011 Messages : 970 Points : 2 871 Points : 2 871	Salut, La commande "script" en complément pourrait s'avérer une bonne solution, non ? __________________ $ man woman Il n'y a pas de page de manuel pour woman.
	01

02/08/2011, 10h27	#7
gangsoleil Modérateur R&D en systemes informatiques bas niveau Unix/Linux Inscription : mai 2004 Messages : 5 465 Détails du profil Informations personnelles : Âge : 31 Localisation : France, Isère (Rhône Alpes) Informations professionnelles : Activité : R&D en systemes informatiques bas niveau Unix/Linux Informations forums : Inscription : mai 2004 Messages : 5 465 Points : 9 585 Points : 9 585	Bonjour, Petit point legal avant toute chose : c'est illegal de logger les actions utilisateurs en France sans que ceux-ci ne soient prevenus. S'ils sont prevenus, alors il est illegal de parser ces logs de maniere non-automatique (tu n'as pas le droit de les regarder a la main). Sinon, lastcomm est en fait un extracteur pour acct, dont la seule version qui permette de logger plus que les 8 premiers caracteres et les arguments est d'utiliser des versions securisees de l'OS, comme Trusted Solaris par exemple. Autre solution : une surcouche aux shells, qui log les commandes avant de les executer. Ca ralentit un peu, et ca n'empeche pas de lancer soi-meme un shell "propre". La solution via sudo necessite de supprimer tous les droits des utilisateurs de toutes les commandes, ce qui va te prendre beaucoup de temps et de ressource. __________________ Modérateur "C", "Informatique Générale & Hardware" et "Unix" Les règles du forum
	10

03/08/2011, 17h53	#9
gangsoleil Modérateur R&D en systemes informatiques bas niveau Unix/Linux Inscription : mai 2004 Messages : 5 465 Détails du profil Informations personnelles : Âge : 31 Localisation : France, Isère (Rhône Alpes) Informations professionnelles : Activité : R&D en systemes informatiques bas niveau Unix/Linux Informations forums : Inscription : mai 2004 Messages : 5 465 Points : 9 585 Points : 9 585	Les sources sont plusieurs avocats. Mais apres, comme le droit n'est qu'une affaire d'interpretation de la loi, il est tout a fait possible d'en trouver qui diront le contraire. De plus, chaque cas etant un peu different du precedent, la loi peut s'appliquer differement dans chaque cas. Exemple concret en reseau : un routeur/firewall/autre peut, legalement, logger les sites visites par les utilisateurs d'un reseau, avec les utilisateurs par site. L'administrateur n'a pas le droit de regarder ces logs. Il est legal que le routeur/firewall/autre envoie automatiquement des mails de "pas bien" aux utilisateurs, par rapport a une liste de sites predefinis (par exemple). L'administrateur ne peut pas etre en copie de ces mails. L'administrateur a le droit de recevoir, par exemple, le top 10 des sites les plus visites, mais pas avec la liste des IP/utilisateurs qui y sont alles. __________________ Modérateur "C", "Informatique Générale & Hardware" et "Unix" Les règles du forum
	10

26/07/2011, 11h45	#3
voran Membre confirmé Inscription : janvier 2005 Messages : 232 Détails du profil Informations personnelles : Localisation : France, Maine et Loire (Pays de la Loire) Informations forums : Inscription : janvier 2005 Messages : 232 Points : 239 Points : 239	Il ne s'agit pas d'espionnage pure mais le but est de pouvoir diagnostiquer en consultant l'historique des commandes si l'une d'elle peut-être à l'origine d'un éventuel futur disfonctionnement. Il s'agit d'un serveur de dev et non de prod. Pour diverses raisons, je ne peux pas vraiment limiter les commandes. De plus, les utilisateurs ne sont pas experts et font partie d'une infrastructure externe ... mais connus Bref, comme d'hab, j'essaie juste de limiter les éventuels futurs dégâts ... et conflits
	10

28/07/2011, 09h27	#6
thierry.chich Membre expérimenté Inscription : août 2008 Messages : 455 Détails du profil Informations personnelles : Localisation : France, Puy de Dôme (Auvergne) Informations forums : Inscription : août 2008 Messages : 455 Points : 575 Points : 575	S'il s'agit de commandes pouvant mettre le serveur en difficulté, ce sera à 99% des commandes root, ou systèmes (www-data et autres). La solution, c'est sudo. Toutes les commandes tapées en sudo sont logguées. C'est bien plus prorpre, et au cas où, tu pourras limiter les droits donnés aux utilisateurs.
	01

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email