In unserem ersten BLOG-Artikel möchte ich ein Tool vorstellen, das sehr hilfreich ist, Vorgänge nachzuvollziehen, die man in einem Linux-System getan hat:

sudoreplay

Auf Ubuntu-Systemen gang und gebe bekommt der Administrator seine Rechte über das Kommando “sudo”.
Sudo bietet mit “sudoreplay” eine Möglichkeit, Sessions aufzuzeichnen und entsprechend abzuspielen.

Das Abspielen gleicht eher einem Video; es werden keine Kommandos nachträglich ausgeführt!

Um sudoreplay zu nutzen, muss zuerst sudo angepasst werden. Das erfolgt wie üblich mit visudo.
Wir rufen als Administrator visudo auf und ergänzen folgende Zeilen:

Defaults log_output
Defaults!/usr/bin/sudoreplay !log_output
Defaults!REBOOT !log_output

 

Die erste Zeile aktiviert das Loggen von Sessions, die zweite und dritte Zeilen regeln Ausnahmen für sudoreplay und REBOOT.

Benutzt man nun sudo, werden die Sessions aufgezeichnet.

Um nun zu sehen, welche Sessions aufgezeichnet wurde,n ruft man folgendes Kommando auf:

sudoreplay -l

 

Es wird anschließend eine Liste ausgegeben, die so aussieht:

Aug 9 08:09:18 2019 : user01 : TTY=/dev/pts/0 ; CWD=/home/user01 ; USER=root ; TSID=000001 ; COMMAND=/bin/su -
Aug 9 08:09:45 2019 : user01 : TTY=/dev/pts/0 ; CWD=/home/user01 ; USER=root ; TSID=000002 ; COMMAND=/bin/su -

 

COMMAND zeigt uns, welches Kommando mittels sudo aufgerufen wird.
TSID ist die Session ID, welche wir für das Abspielen (replay) verwenden.

Jetzt kann man mit

sudoreplay 000002

 

die Session abspielen lassen. Man kann es anschließend noch etwas steuern, z.B beschleunigen, aber auch verlangsamen.
Hier empfehle ich euch, “man sudoreplay” zu lesen.