🚧Registros de sesiones

Una herramienta de monitorización de sistemas es registrar los comandos de las sesiones y poder reproducirlos.

Sudoreplay

El comando sudoreplay es una herramienta utilizada para reproducir las sesiones registradas de comandos ejecutados con sudo. Esto es útil para auditar y revisar las acciones llevadas a cabo por usuarios con privilegios elevados.

El funcionamiento es guardar los logs y un timestamp y luego para reproducirlo, los contrasta.

A continuación, se detalla un tutorial paso a paso para aprender a usar sudoreplay.

Configuración Inicial

Antes de poder utilizar sudoreplay, es necesario configurar sudo para que registre las sesiones. Esto se hace mediante la modificación del archivo de configuración de sudo.

  1. Editar el archivo sudoers: Abre el archivo sudoers usando visudo para evitar errores de sintaxis.

    sudo visudo

  2. Añadir la directiva de registro: Agrega la siguiente línea para habilitar la grabación de sesiones:

    Defaults log_output

    También puedes especificar una ubicación particular para los registros si es necesario:

    Defaults log_output,log_output_dir=/var/log/sudo-io

  3. Guardar y salir: Guarda los cambios y cierra el editor.

Ejecutar Comandos con sudo

Una vez configurado sudo para registrar las sesiones, cualquier comando ejecutado con sudo se registrará automáticamente.

Por ejemplo:

sudo ls /root
sudo cat /etc/shadow

Ahora podemos comprobar las sesiones que han sido registradas dentro de la carpeta:

sudo ls /var/log/sudo-io

Esto mostrará una lista de directorios y archivos, cada uno correspondiente a una sesión registrada.

Uso de sudoreplay

Para reproducir una sesión específica, usa sudoreplay seguido del TSID de la sesión.

Para ver una lista de sesiones:

sudo sudoreplay -l
Lista de registros de sudo

Por ejemplo, para reproducir una sesión:

sudo sudoreplay <TSID>
sudo sudoreplay 00/00/05

Como opciones Adicionales:

  • Buscar Sesiones: Puedes buscar sesiones por usuario o por comando específico.

    sudo sudoreplay -l | grep username
sudo sudoreplay -l | grep command

Ttyrec

ttyrec session -> comando para

ttyplay session -> reproduce lo realizado hasta entonces.

Playterm

Con playterm, luego puedes pasarle la info y te genera un frame para ponerlo en un blog o algun sitio.

Logoreplay your terminal recordings online! (capture shell terminal recording and replay online),
AnteriorWave: Mejorar terminal LinuxSiguienteInstalación manual de Wordpress en CDMON

Última actualización