🚧Registros de sesiones

Una herramienta de monitorización de sistemas es registrar los comandos de las sesiones y poder reproducirlos.

Sudoreplay

El comando sudoreplay es una herramienta utilizada para reproducir las sesiones registradas de comandos ejecutados con sudo. Esto es útil para auditar y revisar las acciones llevadas a cabo por usuarios con privilegios elevados.

El funcionamiento es guardar los logs y un timestamp y luego para reproducirlo, los contrasta.

A continuación, se detalla un tutorial paso a paso para aprender a usar sudoreplay.

Configuración Inicial

Antes de poder utilizar sudoreplay, es necesario configurar sudo para que registre las sesiones. Esto se hace mediante la modificación del archivo de configuración de sudo.

Editar el archivo sudoers: Abre el archivo sudoers usando visudo para evitar errores de sintaxis.
```
sudo visudo
```
Añadir la directiva de registro: Agrega la siguiente línea para habilitar la grabación de sesiones:
```
Defaults log_output
```
También puedes especificar una ubicación particular para los registros si es necesario:
```
Defaults log_output,log_output_dir=/var/log/sudo-io
```
Guardar y salir: Guarda los cambios y cierra el editor.

Ejecutar Comandos con `sudo`

Una vez configurado sudo para registrar las sesiones, cualquier comando ejecutado con sudo se registrará automáticamente.

Por ejemplo:

sudo ls /root
sudo cat /etc/shadow

Ahora podemos comprobar las sesiones que han sido registradas dentro de la carpeta:

sudo ls /var/log/sudo-io

Esto mostrará una lista de directorios y archivos, cada uno correspondiente a una sesión registrada.

Uso de sudoreplay

Para reproducir una sesión específica, usa sudoreplay seguido del TSID de la sesión.

Para ver una lista de sesiones:

sudo sudoreplay -l

Por ejemplo, para reproducir una sesión:

sudo sudoreplay <TSID>
sudo sudoreplay 00/00/05

Como opciones Adicionales:

Buscar Sesiones: Puedes buscar sesiones por usuario o por comando específico.
```
sudo sudoreplay -l | grep username
sudo sudoreplay -l | grep command
```

Ttyrec

ttyrec session -> comando para

ttyplay session -> reproduce lo realizado hasta entonces.

Playterm

Con playterm, luego puedes pasarle la info y te genera un frame para ponerlo en un blog o algun sitio.

replay your terminal recordings online! (capture shell terminal recording and replay online),playterm.org

AnteriorWave: Mejorar terminal Linux SiguienteScripts de utilidad de Linux

Última actualización hace 1 mes

hashtagSudoreplay

hashtagConfiguración Inicial

hashtagEjecutar Comandos con sudo

hashtagUso de sudoreplay

hashtagTtyrec

hashtagPlayterm