บันทึกกิจกรรม SSH

12

ทั้งหมดฉันมีโฮสต์ Ubuntu ที่ยอมรับการเชื่อมต่อ SSH ฉันจะบันทึกคำสั่งทั้งหมดที่ทำงานในบัญชีเฉพาะที่ลงชื่อเข้าใช้ผ่าน SSH ได้อย่างไร

ขอบคุณ

ssh log

— พจนานุกรม
แหล่งที่มา

5

บางทีคุณสามารถทำให้ sshd ใช้เปลือกบันทึกเช่นrootsh ?

— tohuwawohu
แหล่งที่มา

คุณติดตั้ง rootsh บน Ubuntu อย่างไร

— Lexicon

@Lexicon: AFAIK ไม่มีแพ็คเกจ deb ที่คอมไพล์แล้วมีเพียงแหล่งเก็บถาวร ตัวอย่างเช่นการติดตั้งแอปพลิเคชันจากแหล่งที่มาจะอธิบายไว้ที่นี่ ไฟล์ INSTALL ที่อยู่ในแหล่งเก็บถาวรอธิบายตัวเลือกการตั้งค่าต่างๆที่คุณสามารถตั้งค่าก่อนที่จะรวบรวม

— tohuwawohu

4

คุณสามารถลองกับสนูปปี้ หลังจากที่คุณติดตั้งแล้วจะบันทึกคำสั่งอินพุตทั้งหมดที่เรียกใช้ execve ไปยัง syslog คุณจะพบมันได้ใน repos เพื่อความแข็งแกร่งและแม่นยำ

คุณสามารถติดตั้งได้จากที่นี่

— Nextoor
แหล่งที่มา

3

ฉันไม่คิดว่าคำสั่ง SSHD บันทึกในขณะที่ผู้ใช้เข้าสู่ระบบ

คุณสามารถตรวจสอบว่าใครเข้าสู่ระบบโดยการตรวจสอบ

/var/log/auth.log

และอ้างอิงข้ามกับประวัติของพวกเขา

/home/sshuser/.bash_history

ประวัติศาสตร์จะมีคำสั่งในท้องถิ่นหรือระยะไกลแม้ว่า

— Matt Mootz
แหล่งที่มา

1

auth.log มีเซสชันเปิดและปิดข้อมูล แต่ไม่ใช่คำสั่งที่รันในขณะที่เข้าสู่ระบบ. Bash_history แสดงเฉพาะคำสั่งท้องถิ่นไม่มีอะไรผ่านเซสชัน ssh (อย่างน้อยจากสิ่งที่ฉันสามารถบอกได้)

— Lexicon

~ / .bash_history จะไม่ทำงานเนื่องจากผู้ใช้สามารถแก้ไขไฟล์ได้

— Panther

.bash_history ไม่แสดงสิ่งที่เกิดขึ้นผ่าน ssh

— Lexicon

สิ่งที่เกิด.bash_historyขึ้นนั้นขึ้นอยู่กับว่าคุณกำหนดค่าอย่างไร มันอาจแสดงอะไรก็ได้จากการผสมผสานของทุก ๆ เชลล์ที่เกิดขึ้นพร้อมกันไปจนถึงไม่มีอะไรเลย (ฉันexport HISTFILE=''อยู่.bashrcในระบบทั้งหมดของฉันเพื่อปิดประวัติการบันทึกด้วยเหตุผลด้านความปลอดภัย)

— cjs

1

ฉันมีปัญหาที่คล้ายกันและเขียนเครื่องมือบันทึกผู้ใช้เซสชั่นที่เก็บเอาท์พุทเปลือกทั้งหมดลงในไฟล์บันทึกเซสชั่นเข้าถึงได้เฉพาะราก มันสามารถเปิดใช้งานผ่านคำสั่งบังคับใน sshd_conf หรือ ~ / .ssh / คีย์ที่ได้รับอนุญาต (ดูเอกสาร )

— Konrad Bucheli
แหล่งที่มา