Volver al índice


ttysnoop

Permite monitorizar [o tomar el control] el acceso a las terminales por parte de servicios remotos [ssh, telnet...]

Habilitar la aceptación de contraseñas por parte de ssh:

# nano /etc/ssh/sshd_config

Descomentar y modificar el parámetro:

UseLogin yes

Guardar y reiniciar ssh:

# /etc/init.d/ssh restart

Reemplazar el login original por el ttysnnops.

# cd /bin/

# cp -a login lg

# cp -a /usr/sbin/ttysnoops /bin/login

Si al lanzar el último comando sale algo parecido a:

cp: no se ha podido crear el fichero ordinario «/bin/login»: Text file busy

Es que existe alguna consola tty funcionando, aunque no sea como root o root está activo en alguna pts. Matar las consolas y salir de los procesos.

Cambiar los permisos del nuevo login:

# chmod 4755 /bin/login

Editar:

# nano /etc/snooptab

Y modificar la linea:

* socket login /bin/login

por:

* socket login /bin/lg

Cuando por los comandos "who" o "finger" observemos que alguien se ha conectado a nuestra máquina:

# who

marquex pts/2 2010-09-24 16:59 (tux.local)

marquex tty7 2010-09-24 16:42 (:0)

marquex pts/0 2010-09-24 16:50 (:0.0)

Lanzar la aplicación:

# ttysnoop 2

Connected to /dev/pts/2 snoop server...

Ctrl+'' (ASCII 28) to suspend, Ctrl+'-' (ASCII 31) to terminate.

Snoop password:

Verified OK... Snoop started.

La contraseña a introducir tiene que ser la de root, no vale la de usuario con sudo, por tanto los ubunteros:

# passwd root


Volver al índice