Журнал активності SSH

12

Все, у мене є хост Ubuntu, який приймає з'єднання SSH. Як я можу зареєструвати всі команди, які виконуються в певному обліковому записі, який входить через SSH?

Дякую

ssh log

— Лексикон
джерело

5

Може бути, ви можете змусити sshd використовувати оболонку журналу, як rooth ?

— tohuwawohu
джерело

як встановити rooth на Ubuntu

— Lexicon

@Lexicon: AFAIK немає вже складеного пакету дебютів, а лише архів джерела. Наприклад, тут описано встановлення програми з джерела . Файл INSTALL, що знаходиться в архіві джерела, описує різні параметри конфігурації, які можна встановити перед її компілюванням.

— tohuwawohu

4

Можна спробувати зі снупі. Після встановлення він записує всю команду введення, яка викликає execve до syslog. ви знайдете його в репостах лише витривалим і точним.

Ви можете встановити його звідси .

— Nextoor
джерело

3

Я не думаю, що SSHD реєструє команди, коли користувач увійшов у систему.

ви можете перевірити, хто ввійшов, перевіривши

/var/log/auth.log

і перехресне посилання на їх історію

/home/sshuser/.bash_history

історія матиме команди, локальні чи віддалені.

— Метт Моц
джерело

1

auth.log містить відкриту та закриту інформацію про сеанс, але не команди, які були виконані під час входу в систему.

— Лексикон

~ / .bash_history не працюватиме, оскільки користувач може змінити файл.

— Пантера

.bash_history не показує, що відбувається через ssh.

— Лексикон

Що знаходиться в, .bash_historyзалежить від того, як ви його налаштували. Це може показувати що завгодно - від суміші кожного одночасного сеансу оболонки до нічого взагалі. (Я, наприклад, export HISTFILE=''у .bashrcвсіх системах вимикаю історію запису з міркувань безпеки, наприклад.)

— cjs

1

У мене є аналогічна проблема, і я написав інструмент log-user-session, який зберігає весь вихід оболонки в доступний тільки для кореневого файлу журнал сеансу. Його можна ввімкнути за допомогою примусової команди на sshd_conf або ~ / .ssh / дозволених клавішах (див. Документацію ).

— Конрад Бучелі
джерело