linux user group brescia
immagine del castello

Archivio della mailing list

R: Curiosita` varie: 03 - Vedere quel che fanno gli altri

Luca Coianiz lcoianux a digitalbrixia.it
Sab 24 Feb 2001 12:28:32 UTC 
    Ciao Luca,

----- Original Message -----
From: Luca Giuzzi <giuzzi a dmf.bs.unicatt.it>
>> P.S.: E` cmq vero che e` quasi impossibile (o cmq molto, ma molto
>>      difficile) tracciare quel che sta facendo un utente,  o  me
>>      lo sono sognato?
> Per root e' possibile farlo (a meno che il kernel non sia stato
>  modificato in modo opportuno... esistono degli scenari anche
>  legittimi in cui si vuole che root NON possa fare questo...
>  pensa ad esempio ai computers che tengono informazioni sui pazienti
>  in un ospedale): ha accesso a tutta la memoria del sistema e
>  il codice eseguito non viene criptato [suggerimento per i paranoici ;) ].
>  Quello che puo' richiedere un poco di sforzo e'
>  riuscire ad organizzare alcuni dati in modo tale da essere facilmente
>  fruibili, ma e' un problema relativamente marginale.

 Domanda: esiste un comando/utility/qualcosaltro che ti permette di entrare
in "browse" sul flusso di dati che scorre in una tty ?
 Hai presente quelle cose "da film" per cui il ragazzino cracker entra nel
sistema bersaglio ed i sistemisti, dall'altra parte, vedono tutto quello che
sta facendo ma (forse perchè in browsing) non riescono a fare nulla ?

 Non sò... mi viene in mente una specie di "splitter" logico (o sniffer, che
dir si voglia) da lanciare sulla macchina locale che riproduca su una mia
console quello che sta facendo "root" (il cracker) sulla sua connessione
Telnet/FTP/cheneso individuata tramite ps.

 Ho visto che è possibile far partire, al momento della connessione di
qualsiasi utente (quindi anche root), una utility che registra tutto quello
che viene fatto (script) ed usando script+tail è possibile mettere in piedi
qualcosa del genere: ci ho provato e funziona, sempre che il cracker non
butti giù il processo script... ma mi pare che in quel caso si
"suiciderebbe" anche lui dato che gira "dentro" lo stesso processo.
 Unico effetto collaterale "indesiderato" è che la lettura avviene con il
"ritardo" dovuto alla scrittura del file di "log" (typescript) da parte di
script, che avviene solo al sync, ed alla lettura dello stesso da parte di
tail.

 Questo è però diverso da un vero "splitter" che fa comparire su due
console/tty gli stessi contenuti: esiste qualcosa del genere splitter che tu
sappia ?

        Bye
        Sky

P.S.
 Non è che qualcuno mi sa dire come faccio ad evitare il problema del
respawn (o almeno CREDO sia quello) che capita se inserisco il comando
script in uno qualunque dei file che contengono i comandi da eseguire in
seguito al login dell'utente (/etc/profile, /etc/profile.local,
/home/lcoianiz/.profile /home/lcoianiz/.bashrc) ?
 Se faccio eseguire script da uno di questi lo stesso script (probabilmente
per poter loggare quel che fa l'utente) rilancia bash la quale, rileggendo
gli stessi file, rilancia script, che rilancia bash ecc. ecc. [ad libitum,
fino ad ottenere l'errore "out of pty's"].

Maggiori informazioni sulla lista Lug