rootsh: Keylogger para CLI do Linux

Posted by Daniel Kühl Lima in Bash, Linux, Seguranca Apr 20th, 2010 | 7 responses

rootsh é um shell que loga tudo o que um usuário root vê no terminal. É útil se você tem vários administradores com acesso root num servidor e você quer gravar exatamente o que o usuário faz.

Fazer o download do rootsh-1.5.3.tar.gz.

wget http://www.virtualxp.org/downloads/rootsh-1.5.3.tar.gz

Descompactar, configurar, compilar e instalar:

tar zxvf rootsh-1.5.3.tar.gz -C /usr/src
cd /usr/src/rootsh-1.5.3
./configure --disable-syslog --disable-linenumbering
make
make install

Depois de instalado os binários, o sistema está quase pronto. A única necessidade que falta é criar o diretório do rootsh em /var/log onde serão gravados os logs. Esse procedimento não está documentado, mas é necessário.

mkdir /var/log/rootsh

Garantindo que o usuário root usará o rootsh como shell padrão

Para garantir que o usuário root usará o rootsh como shell padrão, adicione o rootsh ao arquivo /etc/shells:

echo /usr/local/bin/rootsh >> /etc/shells

Após esse passo, definir o shell para o usuário root

usermod -s /usr/local/bin/rootsh root

Então, toda vez que o usuário root fizer login, seja direto por ssh ou por su será criado um arquivo de log em /var/log/rootsh com a seguinte estrutura:

< user >.< date >< time >.< process id >

A formatação de cada arquivo de log é exatamente a mesma que o usuário vê no terminal.

cd /var/log/rootsh
ls
root.20100420105208.00a0a.closed
#

Conclusão

Se você não confia em seus sysadmins, ou se você quer ter um controle a mais do que está sendo feito no seu sistema, não tem erro com rootsh