Discussion :

[mortal]

Bonjour,

J'aimerai savoir s'il est possible d'avoir les dernières commandes saisies par tous les utilisateurs sur une distribution linux, CentOS 6?

Merci d'avance pour votre aide.

[Flodelarab]

Bonjour

Tu peux récupérer les fichiers d'historique des commandes tapées en console.

Mais si les utilisateurs les effacent, tu ne peux pas les fliquer.

[mortal]

Comment je fais pour récupérer ces fichiers d'historique des commandes?

Je suis débutant sur Linux.

[frp31]

Comment je fais pour récupérer ces fichiers d'historique des commandes?

Je suis débutant sur Linux.

ls -la /home/francois/.b*y
-rw------- 1 francois francois 48936 déc. 10 21:51 /home/francois/.bash_history

par exemple dans le cas d'un user utilisant bash comme shell il a un .bash_history

[papajoker]

il n'est pas obligatoirement au même endroit pour tous :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

env | grep "HISTFILE"

[N_BaH]

il n'est pas obligatoirement au même endroit pour tous :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

env | grep "HISTFILE"

pourquoi ? echo $HISTFILE n'est pas suffisant ?

[papajoker]

Ce n'est pas le but qui compte, c'est le chemin.

je devais être dans ma phase Le plus court chemin entre deux points n’est pas la ligne droite

[BufferBob]

salut,

"Avoir la liste des commandes saisies par l'ensemble des utilisateurs du système sur une période donnée", par défaut je dirais non, comme on te l'a dit il y a bien les historiques des shells, mais ils ne comportent pas d'horodatage par défaut, il faut le paramétrer explicitement d'une part, l'utilisateur peut par défaut effacer son historique d'autre part, et pour finir il y a plusieurs moyens de contourner la journalisation des commandes quelque soit le shell utilisé

ça n'est pas si simple qu'on pourrait le croire, pour avoir eu une problématique dans laquelle je devais logguer les commandes pour une éventuelle exploitation (en cas de compromission de la machine typiquement) de mémoire je me suis retrouvé à remplacer l'historique de chaque utilisateur par des sockets avec chattr +i pour envoyer directement les lignes au syslog, et même là se posait le problème des commandes ssh "one shot"

si c'est pour mettre en place quelque chose, ça n'est donc pas si trivial, si c'est pour réagir après coup (post-intrusion par exemple) c'est à mon avis déjà trop tard et il faudra faire avec ce que tu trouveras (ou pas) dans les historiques

[disedorgue]

Bonjour,

On peut surveiller les commandes passées par un utilisateur, mais là, c'est du domaine de l'administration, une piste: voir auditd sous linux.

[vinced86]

J'ai rédigé un tuto qui permet de logguer toute les commandes tapper par un utilisateur dans une base Mysql en ayant l'heure, le user, la commande tappé etc...

http://journaldunadminlinux.fr/loggu...ne-base-mysql/

Tu pourras même te faire une interface Web après

[BufferBob]

J'ai rédigé un tuto qui permet de logguer toute les commandes tapper par un utilisateur dans une base Mysql en ayant l'heure, le user, la commande tappé etc...

http://journaldunadminlinux.fr/loggu...ne-base-mysql/

c'est très sympa à faire, ne serait-ce que pour le fun, mais puisque la démarche est résolument dans une optique de sécurisation du système j'attire ton attention sur l'insertion en base des données sans filtrage d'aucune sorte

Code c :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
char mysql_insert[5000];
sprintf(
   mysql_insert,
   "INSERT INTO logs(user,as_user,ip,ut_line,command,host) VALUES('%s','%s','%s','%s','%s','%s')",
   ut->ut_user,
   pw->pw_name,
   ut->ut_host,
   ut->ut_line,
   line,
   hostname);

le tableau de 5000 char fixe, à voir si en pratique ça peut déborder ou non mais dans le doute je me méfierai quand même en bornant la longueur des champs copiés (%.4096s pour line par exemple)
la requête par contre c'est la porte ouverte aux injections, pareil dans l'optique de faire simple je pense que je stockerai en base64 par exemple, à défaut de faire un filtrage réellement bien étudié et safe

[Flodelarab]

sécurisation

Faut le dire vite.

Dans la position du pigeon mis en cage, plusieurs idées me viennent pour retrouver la liberté:

• Utiliser un autre interpréteur que le bash frelaté. (genre sh). Veut-il recompiler tous les interpréteurs du système ?
• Fabriquer une bombe, un genre de boucle infinie qui engorge la base de commandes ineptes jusqu'à ce que la mémoire de celle-ci sature et me laisse libre.
• Modifier la base pour effacer mes traces.
• Utiliser le compte de mon voisin pour faire les choses interdites.
• etc

De quoi cherche-t-on à se protéger avec de telles pratiques ?

[BufferBob]

De quoi cherche-t-on à se protéger avec de telles pratiques ?

ben c'est de la journalisation, le propos n'étant pas tant de fliquer l'utilisateur que d'être en mesure d'investiguer en cas de pépin, ou alors j'ai pas compris ce que tu voulais dire