terminal sessions mitloggen und sichern (per mail)

**MPV** · 25.06.16, 22:55

Hi!

Mich würde interessieren, ob es ein tool/set/programm gibt mit dem ich Terminal Sessions komplett mit protokollieren kann
und am (wenn sich der terminal schließt / der user aus loggt) das Protokoll dann gesichert wird.
Dabei soll dann das Protokoll entweder in ein bestimmtes Verzeichnis hinterlegt werden oder noch besser per Mail an eine definierte Adresse versendet werden.
Das soll am besten für einen Nutzer (zB. root) komplett/automatisch aktivierbar sein, so, dass ich es nicht bei jeder session extra starten muss.

damit das Protokoll noch schöner ist habe ich f´grad nachgeschaut kann man auch nen date time in der Promt haben:

Code:

PS1='[\u@\h \W] \D{%F %T}\n\$ '

gibt es da eine nicht zu aufwändige Lösung?

**BetterWorld** · 26.06.16, 01:08

Das hängt sehr von deinen Erwartungen ab.

Eine sehr einfache Möglichkeit wäre das Programm script.
Es kann komplette Shellsitzungen mitschneiden.

Wenn du das als "Standardshell" in die /etc/passwd einträgst, hast du später alle Shellsessions der jeweiligen User.

Da der User diese Datei auch schreiben können muss, wäre es möglich diese Datei mit chattr so zu flaggen, dass man sie nicht löschen, aber sehr wohl anfügen kann.

Mit scriptreplay kannst du dir das Zeugs sogar vorspielen lassen.

Da jedes Linux auch irgendeinen MTA installiert hat, kann man auch (meist) mit mail sich das Zeugs dann zumailen.

**mbo** · 26.06.16, 07:43

Wenn er jetzt noch erwähnen würde, welche "Terminalsitzungen" er meint...

**florian0285** · 26.06.16, 09:47

Und was komplett mit loggen bedeutet? Reicht da history?

**MPV** · 26.06.16, 22:36

Zitat von BetterWorld

Das hängt sehr von deinen Erwartungen ab.

Es soll nicht zu schwere ein zu richten sein und funktionieren

Zitat von BetterWorld

Eine sehr einfache Möglichkeit wäre das Programm script.
Es kann komplette Shellsitzungen mitschneiden.

Wenn du das als "Standardshell" in die /etc/passwd einträgst, hast du später alle Shellsessions der jeweiligen User.

Damit hab ich mich sogar schon mal rumgespielt, aber ich bin nicht auf die Idee gekommen es als Standardshell ein zu tragen.

Zitat von BetterWorld

Da jedes Linux auch irgendeinen MTA installiert hat, kann man auch (meist) mit mail sich das Zeugs dann zumailen.

hmm das müsste ich dann immer bei einem logout ausführen.
dazu gibt es ja .bash_logout (klappt das mit script) aber wie sieht es mit sitzungen aus die ich nicht sauber beende (das terminal fenster schließe oder bei ssh die verbinung abreist)?

Zitat von mbo

Wenn er jetzt noch erwähnen würde, welche "Terminalsitzungen" er meint...

Er frag sich welche es den gibt?
Ne also alles was ich über die Bash (oder eine andere Shell, wobei ich immer die Bash nutze) eingebe.
das könnte z.B über ssh sein, oder wenn ich am gnome einen terminal öffne, mich schon direkt am terminal anmelde oder bei einem anderen user ein su (switch user) ausführe. Ich hoffe ich übersehe dabei jetzt nichts.

Zitat von florian0285

Und was komplett mit loggen bedeutet? Reicht da history?

Eigentlich dachte ich ursprünglich, dass ich gerne alles haben würde was auch dem user Angezeigt wird.
Aber eigentlich sollten die Eingaben reichen, die müssen dann nur Zeilich sortiert (oder eben mit Zeitstempel versehen sein).

**Newbie314** · 26.06.16, 23:33

Wie BW schrieb: probiere mal script aus. Bei Logout erzeugt es automatisch eine Datei typescript die du dann umbenennen und an die richtige Stelle speichern solltest (vielleicht kann man das script als Parameter mitgeben).

Ob das auch bei Abbruch funktioniert solltest du ausprobieren.

**marce** · 27.06.16, 05:30

Was ist denn das konkrete Ziel der Aktion? Vielleicht ergeben sich daraus noch ein paar andere Möglichkeiten...

**mbo** · 27.06.16, 07:33

Konkretes Ziel? Liest sich nach Vorratsdatenspeicherung mit Content und soll wohl der Überprüfbarkeit von Aktivitäten auf schützenswerte Produktivsystemen dienen. Lies Audit.

Ohne GUI hätte ich "Hackerschutz" vermutet.

**marce** · 27.06.16, 07:58

Tja, vermuten eben :-) Deswegen wäre schon, wenn der TE evtl. was dazu sagt.

Gäbe ja z.B. auch noch sowas in der Art von https://blog.shichao.io/2015/04/22/a...on_ubuntu.html

**muck19** · 27.06.16, 12:03

Wenn es um Demonstration bzw. zeigen geht, wäre ein etwas anderer Ansatz, vom Konsolenfenster einen screencast zu machen.
Programm dazu in meiner Signatur.
Zusätzlich können per Mikrofon Kommentare gesprochen werden - und wenn fertig, kann man das Video per Mausklick gleich als Mail verschicken.

**MPV** · 05.07.16, 21:52

Zitat von Newbie314

Wie BW schrieb: probiere mal script aus. Bei Logout erzeugt es automatisch eine Datei typescript die du dann umbenennen und an die richtige Stelle speichern solltest (vielleicht kann man das script als Parameter mitgeben).

Ob das auch bei Abbruch funktioniert solltest du ausprobieren.

werde ich morgen oder am we machen.
heute hab ich mal das mail problem gelöst (mail/mutt + ssmtp http://www.cyberciti.biz/tips/linux-...smarthost.html)

Zitat von marce

Was ist denn das konkrete Ziel der Aktion? Vielleicht ergeben sich daraus noch ein paar andere Möglichkeiten...

Das ganz konkrete Ziel ist es am Ende einer terminal session (im weiteren Sinn (s.o.)) zumindest die Eingaben in einem Postfach gesammelt zu haben. Das dient zum ggf nötigen nachvollziehen. Dabei sollen die eingöaben einfach betrachtbar sein ... (ein Text file z.B.)

Zitat von mbo

Konkretes Ziel? Liest sich nach Vorratsdatenspeicherung mit Content und soll wohl der Überprüfbarkeit von Aktivitäten auf schützenswerte Produktivsystemen dienen. Lies Audit.

hehe - nein, das system ist nicht wirklich Produktiv. zum schutz trägt es auch nicht bei nu zum nachvollzien wenn nötig

Zitat von mbo

Ohne GUI hätte ich "Hackerschutz" vermutet.

???

Zitat von marce

Tja, vermuten eben :-) Deswegen wäre schon, wenn der TE evtl. was dazu sagt.

Gäbe ja z.B. auch noch sowas in der Art von https://blog.shichao.io/2015/04/22/a...on_ubuntu.html

klingt auch toll, aber leider nur per ssh ;/