Zaloguj aktywność SSH

12

Wszystkie mam hosta Ubuntu, który akceptuje połączenia SSH. Jak mogę zarejestrować wszystkie polecenia uruchamiane na określonym koncie, które loguje się przez SSH?

Dzięki

ssh log

— Leksykon
źródło

5

Może możesz zmusić sshd do używania powłoki rejestrującej, takiej jak rootsh ?

— tohuwawohu
źródło

jak zainstalować rootsha na Ubuntu

— Leksykon

@ Leksykon: AFAIK nie jest dostępny skompilowany pakiet deb, tylko archiwum źródłowe. Instalowanie aplikacji ze źródła opisano tutaj na przykład. Plik INSTALL znajdujący się w archiwum źródłowym opisuje różne opcje konfiguracji, które można ustawić przed skompilowaniem.

— tohuwawohu

4

Możesz spróbować z snoopy. Po zainstalowaniu rejestruje wszystkie polecenia wejściowe, które wywołują wykonanie polecenia syslog. znajdziesz go tylko w repozytoriach, aby był wytrzymały i precyzyjny.

Możesz go zainstalować stąd .

— Nextoor
źródło

3

Nie sądzę, że SSHD rejestruje polecenia, gdy użytkownik jest zalogowany.

możesz sprawdzić, kto się zalogował, sprawdzając

/var/log/auth.log

i odsyłam do ich historii

/home/sshuser/.bash_history

historia będzie miała jednak polecenia lokalne lub zdalne.

— Matt Mootz
źródło

1

auth.log zawiera informacje o otwarciu i zamknięciu sesji, ale nie komendach, które zostały uruchomione podczas logowania. Hash_history pokazuje tylko komendy lokalne, nic przez sesję ssh (przynajmniej z tego co mogę powiedzieć).

— Leksykon

~ / .bash_history nie będzie działać, ponieważ użytkownik może zmienić plik.

— Panther

.bash_history nie pokazuje, co dzieje się przez ssh.

— Leksykon

To, co jest w .bash_historyśrodku, zależy od tego, jak go skonfigurowałeś. Może pokazywać wszystko, od mieszanki każdej równoległej sesji powłoki do niczego. ( export HISTFILE=''W moim .bashrcsystemie na przykład wyłączam historię nagrywania ze względów bezpieczeństwa.)

— cjs

1

Mam podobny problem i napisałem narzędzie log-sesja użytkownika, które przechowuje wszystkie dane wyjściowe powłoki w pliku dziennika sesji dostępnym tylko dla użytkownika root. Można go włączyć za pomocą polecenia wymuszonego na sshd_conf lub ~ / .ssh / uprawnionych klawiszach (patrz dokumentacja ).

— Konrad Bucheli
źródło