Enviando o histórico do bash para o syslog

Esta abordagem parece ser o que você está procurando. Este artigo discute isso, intitulado: Melhorando as capacidades forenses do Bash .

Excerto:

Ao discutir com ele sobre este tópico, percebi que existem algumas maneiras de ajustar o histórico de comandos para melhorar as investigações forenses. Em 2009, também escrevi um post no blog sobre o Bash que dava algumas ideias para enviar um histórico de comandos do Bash para um servidor Syslog remoto. Verifiquei meus logs da web e esta postagem no blog continua popular com mais de 1.000 visitas nos últimos 30 dias! Observe que minha postagem no blog está desatualizada: desde a versão 4.1, o Bash suporta Syslog nativamente, mas na maioria das distribuições, ele não está habilitado. Para usar esse recurso, você precisa recompilar seu shell.

Achei isso não muito conveniente, mas o ponto positivo é que ele não pode ser desabilitado pelo usuário (exceto se ele alternar seu shell para outro shell ou outro binário Bash). Você só precisa definir "SYSLOG_HISTORY" no config-top.h:

$ vi config-top.h
#define SYSLOG_HISTORY
#if defined (SYSLOG_HISTORY)
#  define SYSLOG_FACILITY LOG_USER
#  define SYSLOG_LEVEL LOG_INFO
#endif

./configure
make install

Portanto, parece que, embora o recurso esteja disponível no Bash 4.1+, provavelmente não é compilado por padrão com o Bash na maioria das distribuições populares.

Eu não encontrei um método para ver com quais opções um determinado Bash foi compilado, então para responder a essa pergunta, você provavelmente precisará olhar para o .specarquivo upstream usado ao construir o Bash RPM, por exemplo, em distribuições Redhat, o a mesma abordagem pode ser usada para distribuições baseadas em Debian também.

Como confirmação, procurei no .specarquivo Bash o Bash incluído no CentOS 7.2.1511 e ele não tem isso ativado:

$ grep configure bash.spec
%configure --with-bash-malloc=no --with-afs
- Use the configure macro instead of calling ./configure directly

Rolando seu próprio RPM

Aqui estão os passos que eu usei para construir meu próprio Bash usando a essência do que os detalhes acima explicam.

Para começar , baixei um RPM de origem (SRPM) do Bash que está disponível para CentOS 7.x. Depois de baixá-lo, instalei-o no meu rpmbuilddiretório:

$ rpmdev-setuptree
$ rpm -ivh bash-4.2.46-20.el7_2.src.rpm

Isso irá descompactar os arquivos em rpmbuild/SPEC& rpmbuild/SOURCES. Agora vamos fazer uma cópia do conteúdo do tar.gzarquivo Bash descompactado usando estas etapas:

$ cd rpmbuild/SOURCES
$ tar zxf bash-4.2.tar.gz
$ cp -prf bash-4.2 bash-4.2-orig
$ cd bash-4.2

Edite rpmbuild/SOURCES/bash-4.2/config-top.he deixe assim:

/* Define if you want each line saved to the history list in bashhist.c:
   bash_add_history() to be sent to syslog(). */
#define SYSLOG_HISTORY
#if defined (SYSLOG_HISTORY)
#  define SYSLOG_FACILITY LOG_LOCAL1
#  define SYSLOG_LEVEL LOG_DEBUG
#endif

Edite rpmbuild/SOURCES/bash-4.2/bashhist.ce faça a bash_syslog_historyfunção ficar assim:

void
bash_syslog_history (line)
     const char *line;
{
  char trunc[SYSLOG_MAXLEN];

  if (strlen(line) < SYSLOG_MAXLEN)
    syslog (SYSLOG_FACILITY|SYSLOG_LEVEL, "HISTORY: PID=%d UID=%d USER=%s CMD=%s", getpid(), current_user.uid, current_user.user_name, line);
  else
    {
      strncpy (trunc, line, SYSLOG_MAXLEN);
      trunc[SYSLOG_MAXLEN - 1] = '\0';
      syslog (SYSLOG_FACILITY|SYSLOG_LEVEL, "HISTORY: PID=%d UID=%d USER=%s CMD(TRUNCATED)=%s", getpid(), current_user.uid, current_user.user_name, trunc);
    }
}

Agora gere um .patcharquivo que inclua nossas alterações nesses 2 arquivos:

$ cd $HOME/rpmbuild/SOURCES
$ diff -Npru bash-4.2-orig bash-4.2 > bash_history_rsyslog.patch

Adicione essas linhas a $HOME/rpmbuid/SPEC/bash.spec. Coloque estas linhas nos locais apropriados no arquivo SPEC:

# history syslog
Patch144: bash_history_rsyslog.patch
...
...
%patch144 -p1 -b .history_rsyslog

Agora construa:

$ cd $HOME/rpmbuild/SPEC
$ rpmbuild -ba bash.spec

O final desta compilação ficará assim:

...
Processing files: bash-debuginfo-4.2.46-20.el7.centos.x86_64
Provides: bash-debuginfo = 4.2.46-20.el7.centos bash-debuginfo(x86-64) = 4.2.46-20.el7.centos
Requires(rpmlib): rpmlib(FileDigests) <= 4.6.0-1 rpmlib(PayloadFilesHavePrefix) <= 4.0-1 rpmlib(CompressedFileNames) <= 3.0.4-1
Checking for unpackaged file(s): /usr/lib/rpm/check-files /home/vagrant/rpmbuild/BUILDROOT/bash-4.2.46-20.el7.centos.x86_64
Wrote: /home/vagrant/rpmbuild/RPMS/x86_64/bash-4.2.46-20.el7.centos.x86_64.rpm
Wrote: /home/vagrant/rpmbuild/RPMS/x86_64/bash-doc-4.2.46-20.el7.centos.x86_64.rpm
Wrote: /home/vagrant/rpmbuild/RPMS/x86_64/bash-debuginfo-4.2.46-20.el7.centos.x86_64.rpm
Executing(%clean): /bin/sh -e /var/tmp/rpm-tmp.nGworU
+ umask 022
+ cd /home/vagrant/rpmbuild/BUILD
+ cd bash-4.2
+ rm -rf /home/vagrant/rpmbuild/BUILDROOT/bash-4.2.46-20.el7.centos.x86_64
+ exit 0

Depois de concluído, podemos instalar o RPM resultante:

$ sudo rpm -ivh --force $HOME/rpmbuild/RPMS/x86_64/bash-4.2.46-20.el7.centos.x86_64.rpm
Preparing...                          ################################# [100%]
Updating / installing...
   1:bash-4.2.46-20.el7.centos        ################################# [100%]

Agora modifique a /etc/rsyslog.confconfiguração do rsyslog:

$ sudo vim /etc/rsyslog.conf
...
...
$ModLoad imudp
$UDPServerRun 514

$ModLoad imtcp
$InputTCPServerRun 514

...
...

#### DIRETRIZES GLOBAIS ####
$template IpTemplate,"/var/log/bash-log/%FROMHOST-IP%.log"
*.* ?IpTemplate
& ~

...
...

Em seguida, reinicie o Rsyslog:

$ sudo systemctl restart rsyslog

Agora execute uma nova instância do Bash como root e execute alguns comandos:

$ sudo -Es
$ ls

E siga o arquivo de log, /var/log/bash-log/127.0.0.1.log:

$ tail /var/log/bash-log/127.0.0.1.log
2018-07-19T23:23:37.568131-04:00 centos7 bash: HISTORY: PID=12511 UID=1000 USER=vagrant CMD=sudo -Es
2018-07-19T23:23:37.573825-04:00 centos7 sudo: vagrant : TTY=pts/0 ; PWD=/home/vagrant/rpmbuild/SOURCES ; USER=root ; COMMAND=/bin/bash
2018-07-19T23:23:37.589258-04:00 centos7 systemd-logind: Got message type=signal sender=org.freedesktop.DBus destination=n/a object=/org/freedesktop/DBus interface=org.freedesktop.DBus member=NameOwnerChanged cookie=4454 reply_cookie=0 error=n/a
2018-07-19T23:23:37.590633-04:00 centos7 dbus[588]: [system] Activating service name='org.freedesktop.problems' (using servicehelper)
2018-07-19T23:23:37.590806-04:00 centos7 dbus-daemon: dbus[588]: [system] Activating service name='org.freedesktop.problems' (using servicehelper)
2018-07-19T23:23:37.592160-04:00 centos7 dbus[588]: [system] Activated service 'org.freedesktop.problems' failed: Failed to execute program /lib64/dbus-1/dbus-daemon-launch-helper: Success
2018-07-19T23:23:37.592311-04:00 centos7 dbus-daemon: dbus[588]: [system] Activated service 'org.freedesktop.problems' failed: Failed to execute program /lib64/dbus-1/dbus-daemon-launch-helper: Success
2018-07-19T23:23:37.602174-04:00 centos7 systemd-logind: Got message type=signal sender=org.freedesktop.DBus destination=n/a object=/org/freedesktop/DBus interface=org.freedesktop.DBus member=NameOwnerChanged cookie=4455 reply_cookie=0 error=n/a
2018-07-19T23:23:38.520300-04:00 centos7 bash: HISTORY: PID=12585 UID=0 USER=root CMD=ls
2018-07-19T23:23:49.210406-04:00 centos7 bash: HISTORY: PID=12585 UID=0 USER=root CMD=tail /var/log/bash-log/127.0.0.1.log

Observe as CMD=...linhas neste log? Estes são os comandos que acabamos de executar, um ls& tail.

Pré-construído?

Para ajudar as pessoas com isso tomei a liberdade de construir o Bash RPM com as modificações feitas no Copr.

• https://copr.fedorainfracloud.org/coprs/slmingol/bash/