🚧Registros de sesiones
Una herramienta de monitorización de sistemas es registrar los comandos de las sesiones y poder reproducirlos.
Sudoreplay
El comando sudoreplay es una herramienta utilizada para reproducir las sesiones registradas de comandos ejecutados con sudo. Esto es útil para auditar y revisar las acciones llevadas a cabo por usuarios con privilegios elevados.
El funcionamiento es guardar los logs y un timestamp y luego para reproducirlo, los contrasta.
A continuación, se detalla un tutorial paso a paso para aprender a usar sudoreplay.
Configuración Inicial
Antes de poder utilizar sudoreplay, es necesario configurar sudo para que registre las sesiones. Esto se hace mediante la modificación del archivo de configuración de sudo.
Editar el archivo
sudoers: Abre el archivosudoersusandovisudopara evitar errores de sintaxis.sudo visudoAñadir la directiva de registro: Agrega la siguiente línea para habilitar la grabación de sesiones:
Defaults log_outputTambién puedes especificar una ubicación particular para los registros si es necesario:
Defaults log_output,log_output_dir=/var/log/sudo-ioGuardar y salir: Guarda los cambios y cierra el editor.
Ejecutar Comandos con sudo
sudoUna vez configurado sudo para registrar las sesiones, cualquier comando ejecutado con sudo se registrará automáticamente.
Por ejemplo:
Ahora podemos comprobar las sesiones que han sido registradas dentro de la carpeta:
Esto mostrará una lista de directorios y archivos, cada uno correspondiente a una sesión registrada.
Uso de sudoreplay
Para reproducir una sesión específica, usa sudoreplay seguido del TSID de la sesión.
Para ver una lista de sesiones:
Por ejemplo, para reproducir una sesión:
Como opciones Adicionales:
Buscar Sesiones: Puedes buscar sesiones por usuario o por comando específico.
Ttyrec
ttyrec session -> comando para
ttyplay session -> reproduce lo realizado hasta entonces.
Playterm
Con playterm, luego puedes pasarle la info y te genera un frame para ponerlo en un blog o algun sitio.
Última actualización