03 junio 2016

Auditoria en Servidores con TTYREC

Hoy hablaremos de una herramienta muy interesante, que nos permite grabar todo lo que esta haciendo una consola, para, por ejemplo, subirlo a Youtube. TTYREC esta disponible en todos los repositorios de las principales distribuciones, y su instalacion es muy simples :

root@gostir:~# slapt-src install ttyrec

Despues de instalado, en una consola lo lanzamos con el comando:

root@gostir:~# ttryrec -u testetty.rec

Aparentemente no pasa nada, pero queda funcionando en background, experimenta ejecutando algunos comandos cotidianos ej:(df -h, iptables -nL, mount, etc...) despues detenelo y sali con:

root@gostir:~# exit

Para ver el archivo de log, o analizarlo, ejecuta el comando:

root@gostir:~# ttyplay testetty.rec

Vas a ver una especie de "video" de los comandos que ejecutamos antes...

Si precisamos automatizar el inicio de ttyrec cuando un usuario hace login en el servidor, la solucion es muy simple:

root@gostir:~# mkdir /etc/ttyrec/
root@gostir:~# chmod 777 /etc/ttyrec

Modificamos el profile:

root@gostir:~# vi /etc/profile

Vamos agregar unas lineas abajo al final del archivo:

if [ `id -u` ];
then
TTYFORMAT="/etc/ttyrec/${LOGNAME}-${HOSTNAME}-"`date +%H-%M--%d-%m-%Y`".rec"
ttyrec -u $TTYFORMAT
fi

Guardamos y listo, despues mas tranquilos podemos revisar las sesiones que consideremos...

Que te diviertas!