On Mon, Nov 23, 2009 at 09:37:28AM +0100, Rissone Ruggero wrote:
>-----Messaggio originale-----
>Da: [email protected]
>[mailto:[email protected]] Per conto di Luca Berra
>Inviato: venerdì 20 novembre 2009 18.21
>A: [email protected]
>io quando mi ero occupato della cosa avevo deciso di
>implementare sudosh (lievemente taroccato per evitare che
>salvasse le password nel log)
Piu' che altro anche sudoshell e' bypassabile (ovviamente quando un
amministratore ha la volonta' di farlo).
http://www.chrisbrenton.org/2009/08/breaking-out-of-a-sudo-shell/
no, no, io ho detto sudosh (http://sourceforge.net/projects/sudosh/)
E il trick indicato sul blog che indichi e' la giusta punizione per i
sysadmin gonzi.
per leggere un file basta cat
per permettere l'editing di un file si usa visudo
in altri casi noexec (http://noexec.sourceforge.net/) aiuta
ma il mio problema era un po piu' complesso
volevo loggare TUTTO, non solo i comandi
se pippo fa sudo sqlplus '/as sysdba'
potrebbe voler solo cambiare un parametro, o magari alterare dei dati.
sudosh logga tutto quello che passa sul terminale....
L.
--
Luca Berra -- [email protected]
Communication Media & Services S.r.l.
/"\
\ / ASCII RIBBON CAMPAIGN
X AGAINST HTML MAIL
/ \
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
