Wer gerne weiss was auf seinem System abgeht, der wird ‘snoopy’ lieben. ‘snoopy’ logt jeden exec aufruf auf dem System, auf dem er installiert ist. Viel komplizierter – allerdings auch mit mehr Funktionen – geht das auch mit GrSecurity (grsec), das hatte ich vorher im Einsatz und bin deshalb überrascht, wie einfach das mit ‘snoopy’ geht.
Installiert wird ‘snoopy’ auf debian mit aptitude:
$ sudo aptitude install snoopy
so, und alle Prozesse die ab jetzt starten, werden ganz genau geloggt, und zwar nach /var/log/auth.log.
Wenn ein Benutzer auf dem System nun einen ‘ls’ macht, sieht das so aus:
Nov 12 17:19:45 server snoopy[14307]: [simon, uid:1000 sid:13821]: ls --color=auto
So, und wenn jetzt einer in Dein System einbricht, wird schön alles geloggt, was er macht. Nur, wenn der Einbrecher root werden kann, oder sonst einen Trick findet, kann er die Logs natürlich auch manipulieren, deshalb empfiehlt sich ein WriteOnly Logserver.
Viel Glück :)
Kürzlich hatte ich das Problem, das ich in der Bash einer meiner Server keine Umlaute mehr schreiben konnte. Ein bisschen Google hat mich aufgeklärt, es dreht sich alles um zwei Dateien:
- /etc/inputrc, Systemweit
- ~/.inputrc, Benutzerweit
Die ‘inputrc’ ist die Konfigurationsdatei von ‘readline’. ‘readline’ wiederum ist eine Bibliothek die von der Bash und anderen Programmen benutzt wird und stellt Eingabefunktionen bereit.
Um Umlaute schreiben zu können müssen folgende Parameter richtig gesetzt sein:
# Be 8 bit clean.
set input-meta on
set output-meta on
# To allow the use of 8bit-characters like the german umlauts, comment out
# the line below. However this makes the meta key not work as a meta key,
# which is annoying to those which don't need to type in 8-bit characters.
set convert-meta off
Dies entweder in ‘/etc/inputrc’ ändern, was auf alle Benutzer auf dem System Auswirkungen hat, oder im Heimverzeichnis in der Datei ‘.inputrc’, das betrifft dann nur Dich.