Журнал SSH активности

12

Все, у меня есть хост Ubuntu, который принимает соединения SSH. Как я могу регистрировать все команды, которые выполняются на определенной учетной записи, которая входит в систему через SSH?

Благодарность

ssh log

— Лексикон
источник

5

Может быть, вы можете заставить sshd использовать оболочку регистрации, такую как rooth ?

— tohuwawohu
источник

как установить rooth в Ubuntu

— Lexicon

@Lexicon: AFAIK, нет уже скомпилированного пакета deb, только архив с исходным кодом. Установка приложения из источника описана здесь , например. Файл INSTALL, расположенный в исходном архиве, описывает различные параметры конфигурации, которые вы можете установить перед его компиляцией.

— tohuwawohu

4

Вы можете попробовать с Snoopy. После того, как вы установите его, будут записаны все входные команды, которые вызывают execve в системный журнал. Вы найдете его в репозитории только для выносливости и точности.

Вы можете установить его отсюда .

— Nextoor
источник

3

Я не думаю, что SSHD регистрирует команды, пока пользователь входит в систему.

Вы можете проверить, кто вошел в систему, проверив

/var/log/auth.log

и перекрестная ссылка на их историю

/home/sshuser/.bash_history

история будет иметь команды локальные или удаленные.

— Мэтт Моотц
источник

1

auth.log содержит информацию об открытом и закрытом сеансе, но не о командах, которые были запущены при входе в систему. .Bash_history показывает только локальные команды, ничего через сеанс ssh (по крайней мере из того, что я могу сказать).

— Лексикон

~ / .bash_history не будет работать, так как пользователь может изменить файл.

— Пантера

.bash_history не показывает, что происходит через ssh.

— Лексикон

Что .bash_historyзависит от того, как вы его настроили. Он может показать что угодно, от сочетания каждого одновременного сеанса оболочки, до вообще ничего. (Я использую export HISTFILE=''во .bashrcвсех системах отключение истории записи по соображениям безопасности, например.)

— cjs

1

У меня похожая проблема, и я написал инструмент log-user-session, который сохраняет весь вывод оболочки в доступный только для root файл журнала сеанса. Его можно включить с помощью принудительной команды для sshd_conf или ~ / .ssh / авторизованных ключей (см. Документацию ).

— Конрад Бучели
источник