chegivara Sep 12 2009 at 23:30

Шпионаж за чужой консолью

1 min

10K

*nix*

+25

Comments 45

Gasoid Sep 13 2009 at 00:03

ttysnoop

chegivara Sep 13 2009 at 00:17

Про эту программу я слышал, но вот воспользоваться так и не получилось.
Можете показать рабочий пример?

angry_elf Sep 13 2009 at 01:40

bashlogger, screen -x :)

chegivara Sep 13 2009 at 01:57

Мило просить работать через screen?)

angry_elf Sep 13 2009 at 02:56

usermod -s /bin/screen %username% :)

UFO landed and left these words here

V2NEK Sep 13 2009 at 01:52

не за кем следить будет

tmp0000 Sep 13 2009 at 05:07

Метод Чака Норриса? :)

Anton_DS Sep 13 2009 at 08:14

Скорее мистера Спока :))

UFO landed and left these words here

chegivara Sep 13 2009 at 01:55

Это всё не то, можно очистить да и многово не увидишь. Нужен он лайн режим.

antosj Sep 13 2009 at 05:12

tail

l0rda Sep 13 2009 at 05:38

unset HISTFILE

какой tail?

andoriyu Sep 13 2009 at 07:01

тот который показывает нижнии строки, типо чекать не изменился ли фаил и показывать его хвост.

l0rda Sep 13 2009 at 07:05

я знаю что такое tail
но он Вам не поможет, если в этот файл ничего не пишется

Somewan Sep 13 2009 at 01:55

решение из разряда «а я тупо вынул все кабели из свича»

ставится сплиттер на выдеовыход с карты и при достаточной длине кабеля вся консоль у тебя на мониторе

chegivara Sep 13 2009 at 01:58

это за физической, а ssh сессии как)

Somewan Sep 13 2009 at 02:02

как говорится, подписался на комментарии

AlexeyK Sep 13 2009 at 12:30

на практике никак, разве что снифить приходящие на sshd команды и подавать их типа «в реальном времени», либо подобные решения

Dimster Sep 13 2009 at 04:01

Угу,
«Чувак, я тут у тебя с ноутом посижу ладно? Только тут вайфай ловит, проверю, что новенького на хабре. Какой кабель? К видеокарте? Так это как антенна для вайфая, я тебе точно говорю.»

tmp0000 Sep 13 2009 at 05:08

«Чувак, я тут у тебя с ноутом посижу ладно? Только тут вайфай ловит, проверю, что новенького на хабре. Какой кабель? К видеокарте? Так это как антенна для вайфая, я тебе точно говорю. Кстати, ты с какова раёна, парниша?»

anycolor Sep 13 2009 at 04:00

мм, насколько я помню даже snp не нужно собирать. В стандартной поставке есть все, что нужно:

DEscriptION
The watch utility allows the user to examine all data coming through a
specified tty using the snp(4) device. If the snp(4) device is not
available, watch will attempt to load the module (snp). The watch util-
ity writes to standard output.

Может я конечно отстал от жизни, но в FreeBSD 5.2 не нужно было дополнительно ничего собирать, чтобы использовать watch.

ColorPrint Sep 13 2009 at 10:53

угу, в семерке и восьмерке тоже из коробки работает, ничего компилить не нужно

Spamkit Sep 13 2009 at 04:03

Будьте добры посмотреть здесь на Линукс-аналог НЛО.

Spamkit Sep 13 2009 at 04:03

Тьфу, линк не вставился linux.die.net/man/1/conspy

chegivara Sep 13 2009 at 14:35

Это подключение к виртуальным консолям, ssh сессии так не увидеть(

dei34 Sep 13 2009 at 04:56

для Linux www.phrack.org/issues.html?issue=50&id=5

UFO landed and left these words here

DurRandir Sep 13 2009 at 09:10

А теперь запусти то же самое, но не от рута. И удивишься, что open /dev/snp0: Permission denied

StirolXXX Sep 13 2009 at 11:46

Отлично, а кому это надо делать кроме как руту?

ColorPrint Sep 13 2009 at 12:47

ну все правильно вроде, а Вы как хотели? )
если нужна возможность делать это обычным юзерам то думаю достаточно сменить права на /dev/snp
Только вот зачем оно юзерам то? ;)

ivlis Sep 13 2009 at 14:40

Было бы очень странно, если бы работало, лол.

iscsi Sep 13 2009 at 10:28

не надо ничего собирать, kldload snp, и понятное дело, если Вы смогли сделать это, то watch sometty для Вас уже не проблема вовсе.

akshakirov Sep 13 2009 at 14:04

в линукс watch делает совсем другое… собственно так я узнал о том что делает watch в FreeBSD.

PS: какой аналог linux watch есть под freebsd?

dmn42 Sep 13 2009 at 16:03

gnu-watch

dmn42 Sep 13 2009 at 14:22

Port: gnu-watch-3.2.7
Path: /usr/ports/misc/gnu-watch
Info: GNU watch command
Maint: ehaupt@FreeBSD.org
B-deps:
R-deps:
WWW: procps.sourceforge.net/

Enjoy.

dmn42 Sep 13 2009 at 14:23

Йопрст, не проснулся и подумал про наоборот.

SaveTheRbtz Sep 13 2009 at 15:43

о! Круто! Как раз про «наоборот» и хотел спросить =)

egorinsk Sep 13 2009 at 15:59

tail /dev/ttyN не работает? (просто интересно)

kmeaw Sep 14 2009 at 04:01

Я использовал ttyrpld.

Работает примерно так: после загрузки ядерного модуля создаётся устройство, которое позволяет перехватывать любые псевдотерминалы и следить за тем, как они создаются и исчезают. В userspace работает специальный демон, который использует это устройство для записи лога всех псевдотерминалов. Также есть программа, которая чем-то похожа на видеоплеер — она воспроизводит запись сессии, позволяет «ускорять время», сокращать ожидание до следующего изменения данных, показывать невыводимые (когда режим echo на tty выключен) символы (бывает полезно, чтобы подсмотреть пароль).

URANUS Dec 1 2009 at 07:22

Как защитится от watch? К примеру руки кривые, команды набираешь с ошибками и не особо хочется, чтобы другой root это видел.

Nevkontakte Jun 1 2010 at 16:49

Идея навскидку: выгрузить модуль ядра и добавить в блек-лист?

Nevkontakte Jun 1 2010 at 16:52

Упс, на дату не посмотрел.

URANUS Jun 1 2010 at 18:29

ну так-то да, но защититься от другого рута в принципе проблематично, ибо он может всё, как и ты :) загрузить этот модуль обратно к примеру.

Nevkontakte Jun 1 2010 at 18:39

Еще более радикальный вариант — убить все активные левые сессии рутов, запретить логиниться по-новой (например поставив вместо пароля * в /etc/shadow), сделать свое черное дело и вернуть как было.
Но тут сразу два «но». Злой рут может иметь всякие бекдоры/руткиты, и всякий раз так делать замаешься да и не при всяких условиях это допустимо. Так что 100% гарантировать то, что за тобой никто не следит — из области фантастики :-)