URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 82472
[ Назад ]

Исходное сообщение
"чтение чужого терминала tty"
Отправлено eax0r , 20-Окт-08 09:38

Есть подозрение, что недобросовестный админ использует сервер в личных целях. какой-либо информации из логов получить не удалось, т.к. он их тщательно трет.
Появилась идея просматривать все, что пишется в его терминал (tty), когда он подключен к серверу по ssh, но только как это можно сделать найти не удалось.
Может даже и фиг с этим админом, а вот вопрос чтения чужого терминала очень заинтересовал. Как можно это реализовать?
ОС - Linux 2.6.9 fedora 4.

Содержание

чтение чужого терминала tty,Oleg_Rus, 10:53 , 20-Окт-08
- чтение чужого терминала tty,eax0r, 12:42 , 20-Окт-08
  - чтение чужого терминала tty,Oleg_Rus, 12:46 , 20-Окт-08
чтение чужого терминала tty,angra, 23:19 , 20-Окт-08
чтение чужого терминала tty,RSG, 08:51 , 21-Окт-08
- чтение чужого терминала tty,eax0r, 10:02 , 23-Окт-08

Сообщения в этом обсуждении

"чтение чужого терминала tty"
Отправлено Oleg_Rus , 20-Окт-08 10:53

>Есть подозрение, что недобросовестный админ использует сервер в личных целях. какой-либо информации
>из логов получить не удалось, т.к. он их тщательно трет.
>Появилась идея просматривать все, что пишется в его терминал (tty), когда он
>подключен к серверу по ssh, но только как это можно сделать
>найти не удалось.
>Может даже и фиг с этим админом, а вот вопрос чтения чужого
>терминала очень заинтересовал. Как можно это реализовать?
>ОС - Linux 2.6.9 fedora 4.
Думается, что полностью проконтролировать нельзя. Можно попробовать "частично" увидеть действия в конкретный момент времени --
ps aux|grep username или tty*
Возможно, что есть и другие варианты :-\

"чтение чужого терминала tty"
Отправлено eax0r , 20-Окт-08 12:42

>Думается, что полностью проконтролировать нельзя. Можно попробовать "частично" увидеть действия в конкретный
>момент времени --
>ps aux|grep username или tty*
>
>Возможно, что есть и другие варианты :-\
С таким же успехом можно каждые несколько секунд делать копии .bash_history. В FreeBSD есть утилита watch. Не видел ее в работе, но в описании четко сказано snoop on another tty line. Вот что-то бы подобное под linux.

"чтение чужого терминала tty"
Отправлено Oleg_Rus , 20-Окт-08 12:46

>С таким же успехом можно каждые несколько секунд делать копии .bash_history.
Не все админы любят bash ;-)
К примеру, запустив csh или tsch в логах .bash_history ничего не увидишь ;-)
ЗЫ: прикольно, если админ, за которым "идет слежка" читает эту тему и делает выводы )))

"чтение чужого терминала tty"
Отправлено angra , 20-Окт-08 23:19

Есть патч для sshd, который такое позволяет, спрашивать у гугла.

"чтение чужого терминала tty"
Отправлено RSG , 21-Окт-08 08:51

>Появилась идея просматривать все, что пишется в его терминал (tty), когда он
>подключен к серверу по ssh, но только как это можно сделать
>найти не удалось.
script(1) ?

"чтение чужого терминала tty"
Отправлено eax0r , 23-Окт-08 10:02

Патч, конечно, хорошо, но это же изменения, поэтому не хотелось бы.
script вариант, но как запустить его на чужом терминале?
А вот сам нашел совершенно случайно наткнулся =) - ttysnoop. "ttysnoop allow you to snoop on users' ttys. Not only will this allow you to watch what is happening on a user's terminal, it will allow you to manipulate the environment as well."
Буду пробовать.