Как проследить за действиями пользователя
Как проследить за действиями пользователя так сказать в режиме ONLINE. Тоесть такие в данный момент комманды вводяться и какие действия с файлами осущиствляються.
Команды lsof и watch не дают желаемого результата.
Re: Как проследить за действиями пользователя
Поставить камеру видеонаблюдения у него за спиной.
Re: Как проследить за действиями пользователя
)))))))))))))) Это конечно можно. но интересует именно програмынй вариант решения.
Re: Как проследить за действиями пользователя
Если пользователь не обременен излишним интеллектом и ни о чем не догадается, можно попробовать сменить login shell на screen — можно настроить, чтобы подключаться к работающему сеансу read-only, в иксах — vnc.
Re: Как проследить за действиями пользователя
> Как проследить за действиями пользователя так сказать в режиме ONLINE. Тоесть такие в данный момент комманды вводяться и какие действия с файлами осущиствляються.
команды — если в X11 вводятся то можно средствами X11 узнать. как с консоле не знаю. действия с файлами — man inotify.
Re: Как проследить за действиями пользователя
оболочку с /bin/bash сменил на screen в файле /etc/passwd
но vnc в исках при подключении к хосту на котором проделаны выше указанные действия не подключаеться (скорее всего из-за того что на хосте нету иксов). Нужно именно выявить действия в консольке, например пользователь запустил MC и я вижу что он в нем делает, если конечно это возможно
Re: Как проследить за действиями пользователя
Re: Как проследить за действиями пользователя
vnc для консоли или было еще что то в этом же плане, точнее не подскажу
Re: Как проследить за действиями пользователя
можно в конфигурационном файле screen настроить, чтобы лог велся в заданный заранее файл, но в случае mc, думаю это не поможет.
Re: Как проследить за действиями пользователя
скриптик снимающий скриншоты в какую-нибудь диру 2-3 раза в секунду
Re: Как проследить за действиями пользователя
1. включить audit — просто и надёжно, но увидишь низкоуровнево — не что он делает а как, и вероятно не очень online, если оно буферизирует вывод.
2. заменить shell на http://sourceforge.net/projects/eash/ — увидишь только ввод-вывод терминала, зато весь.
3. добавить в bashrc «trap ‘logger . $BASH_COMMAND’ DEBUG» — увидишь только команды shell-а, и то не все и если он не против. Зато проще понять, что он хотел.
Re: Как проследить за действиями пользователя
Re: Как проследить за действиями пользователя
> оболочку с /bin/bash сменил на screen в файле /etc/passwd
Ну и замечательно. Только путь к screen нужно полный прописать. Заходите на ту же машину по SSH и выполняете комманду screen -x. Когда надоест смотреть за подопечным жмите Ctrl+A D. Подробнее см. man screen.
Re: Как проследить за действиями пользователя
Поскольку со screen’om не получилось подключиться, предложенный вариант с использованием «ttysnoop» вполне подходит. Только вот он спрашивает пароль и логин пользователя за хоторым нужно смотреть. но я буду еще читать man.
Если будут еще идеии — пишите!
Re: Как проследить за действиями пользователя
Способ в том, что можно делать ‘cat /dev/vcs7’ с какой угодно периодичностью и наблюдать какие действия производит пользователь. ну и делать с правами рута конечно
Re: Как проследить за действиями пользователя
использовал твой способ и немного модернизировал, вот что получилось:
watch -n1 «cat /dev/vcs1» если смотреть из X11 то размер в консольке нужно выбрать 80х40(XTerm), кодировку. подбирать(чтобы было видно русские буквы)
он позволяет смотреть за консолью которая открыта непосредственно с компа, а не по ssh, что касаеться подглядывания за консолью это пожалуй лучший вариант.
Re: Как проследить за действиями пользователя
cat /dev/vcs2 |while read -n80 line; do echo «$line»; done
И наверное с кордировкой что-то надо придумать (и брать /dev/vcsa если хочется в цвете)
Как узнать что делает USER.
Задача такая может кто и сталкивался. Я админ небольшой сети. Есть сервак Linux RH7, на нем HDSL модем смотрит в инет и eth0 смотрит во внутреннюю сеть. На серваке установлены sendmail, squid и для отдельных пользователей masquerade (например для меня).
Недавно шеф озадачил хочу говорит видеть кто чем занимается в инете. То есть допустим ip 192.168.0.22 все что делал в инете скопировалось в отдельную папочку и шеф потом эту папочку посмотрел ну сделал для себя какието выводы.
Под NT такая прога есть GiveMeTo называется, а вот под линукс есть что нибудь подобное или нет.
Заранее благодарю.
Re: GiveMeTo
что-то ничего я не нашел на «GiveMeTo» на google. А что будет выдавать эта самая «GiveMeTo», если пользователь пошел SSH куда-нибудь — криптованный трафик. И какие выводы тогда шеф сделает?
Re: Как узнать что делает USER.
О хождении юзерскими бродилками через прокси:
tail -f /var/log/squid/access.log — это кто\что сейчас прям смотрит;
Для генерирования красивых отчетов «кто\куда\когда ходил» есть
много хороших и разных тулзов. Смотри, например, SARG или calamaris.
Сведения о пользователях и группах в Linux
В этой статье рассмотрим где хранится информация о пользователях и группах.
Данная информация хранится в следующих файлах:
- /etc/passwd — хранит информацию о пользователях, доступен для просмотра всем пользователям.
- /etc/group — хранит информацию о группах, доступен для просмотра всем пользователям.
- /etc/shadow — хранит информацию о пользователях и их паролях, доступен только суперпользователю.
- /etc/gshadow — хранит информацию о группах и их паролях, доступен только суперпользователю.
Файлы представляют из себя базы данных. Каждая строка файла описывает одного пользователя/группу, поля разделяются двоеточием. Все файлы имеют связи друг с другом. имя пользователя связывает записи файлов /etc/passwd и /etc/shadow. Имя группы связывает записи файлов /etc/group и /etc/gshadow.
Для избегания некорректной работы файлов и системы в целом, рекомендуется использовать специальные программы для добавления пользователей и групп.
Сведения о п ользователях
Откроем файл /etc/passwd, для этого выполним команду:
Рассмотрим содержание файла.
При открытии, снизу появляется уведомление, о том, что файл предназначен для чтения. На данном снимке не видно, потому как я выделил строку и оно закрылось. Уведомление высвечивается, если файл открыт без прав суперпользователя. Посмотрим информацию и моём пользователе.
- anatolii — Имя пользователя
- x — Пароль. Здесь указывается специальный символ Х , который говорит о том, что пароль находится не в этом файле, а в теневом файле /etc/shadow.
- 1000 — Идентификатор пользователя. Идентификаторы до 1000 зарезервированы для использования системой и службами, свыше тысячи для пользователей. В некоторых дистрибутивах для пользователей используются значения от 500.
- 1000 — Идентификатор группы. По умолчанию, в ОС Linux для каждого нового пользователя создается новая группа с таким же именем и идентификатором. При создании можно указать, чтобы группа не создавалась, или присвоить членство в другой группе. Группы
хранятся в файле /etc/group, а поле идентификатора группы в файле /etc/passwd. Этот идентификатор не играет особой роли при определении прав доступа. Он используется лишь при создании новых файлов и каталогов. - anatolii. — Прочие сведения пользователя, указываются через запятую: полное имя, номер офиса и здания, рабочий телефон, домашний телефон.
- /home/anatolii — Домашняя папка пользователя. При создании пользователя можно не создавать её, либо создать её по другому пути. По умолчанию (/home/ваш логин)
- /bin/bash — Командная оболочка, которая запускается при входе.
Сведения о группах
С информацией о группах можно ознакомиться в файле /etc/group. Просмотреть его можно опять же командой nano /etc/group .
Тут наглядно видно уведомление, что файл только для чтения, о котором писал выше. Тут уже строчку не выделил, рассматривать будем на примере группы cdrom (вторая снизу).
- cdrom — имя группы
- x — пароль для группы. Знак X опять же информирует, о хранении пароля в теневом файле /etc/gshadow. У групп, практически никогда не используют пароли, но такая опция есть.
Пример 1. Если пользователь будет менять членство группы, то у него запросится этот пароль.
Пример 2. Если мы устанавливаем доступ на папку или файл группе, то при обращении к файлу или при переходе в папку, у нас запросят пароль.
- 24 — идентификатор группы
- anatolii — члены группы. Если после двоеточия пусто, то в эту группу входит только одноимённый пользователь. Пользователи указываются через запятую. Если в файле /etc/passwd пользователь является членом определённой группы, а в файле /etc/group он не включён в эту группу, то пользователь все равно включается в неё. На этапе регистрации членство в группе проверяется по обоим файлам, но лучше использовать команды, либо согласовывать их содержимое.
Минус файлов /etc/passwd и /etc/group в том, что по умолчанию у всех пользователей системы есть разрешение на чтение информации из них. Потому что разные демоны и службы обращаются к этим файлам, чтобы брать из них информацию. В этих файлах раньше хранился пароль пользователя, хоть он был и в зашифрованном виде, его всё равно можно было узнать, используя специальные программы.
Сейчас же используется механизм теневых паролей. Это файл /etc/shadow и /etc/gshadow. И как уже было отмечено выше, пользователи не могут их просмотреть, и уж тем более изменить, без прав суперпользователя.
Сведения о паролях пользователя
Посмотрим файл /etc/shadow, для это используем всё тот же редактор nano, но уже с правами суперпользователя: