ฉันใช้ Ubuntu 10.04 มีวิธีที่ฉันสามารถรับรายงานรายวันของผู้ที่เข้าสู่ระบบกล่องเวลาและแม้กระทั่ง - นี้อาจจะถามมากเกินไป - รายงานคำสั่งที่พวกเขาใช้? นี่คือกล่องการใช้งานต่ำและดังนั้นฉันคิดว่านี่จะเป็นวิธีที่ดีในการดูว่ามีกิจกรรมใดเกิดขึ้น
ในบรรทัดเดียวกันนี้ฉันได้ยินมาว่ามันเป็นไปไม่ได้ที่จะติดตามเมื่อมีการทำสิ่งต่าง ๆ ในกล่องผ่านเชลล์ที่ไม่มีการโต้ตอบเช่น rsync หรือเพียงแค่สั่งงานคำสั่งเดี่ยวผ่าน ssh จากระยะไกล เป็นจริงหรือมีวิธีบันทึกและติดตามสิ่งนี้ด้วยหรือไม่
คำตอบ:
ข้อมูลของผู้ที่เข้าสู่ระบบเมื่อมีอยู่ใน/var/log/auth.log(หรือไฟล์บันทึกอื่น ๆ ในการกระจายอื่น ๆ ) มีโปรแกรมตรวจสอบบันทึกจำนวนมากที่สามารถดึงข้อมูลที่คุณกำหนดค่าตามความเกี่ยวข้อง ในระบบใด ๆ ทุกการตรวจสอบผู้ใช้จะถูกบันทึกไว้
หากต้องการบันทึกการเรียกใช้คำสั่งทุกคำสั่ง (แต่ไม่ใช่ข้อโต้แย้ง) ให้ใช้การบัญชีกระบวนการที่จัดทำโดยacctแพ็คเกจ บน Ubuntu หากระบบย่อยการบัญชีกำลังดำเนินการอยู่
lastcommแสดงข้อมูลเกี่ยวกับกระบวนการที่เสร็จสิ้นแล้ว
นอกจากนี้คุณยังสามารถใช้whoหรือwเพื่อดูว่าใครเข้าสู่ระบบในปัจจุบันรวมถึงผู้ใช้ SSH
lastอาจจะเป็นตัวเลือกที่ดีสำหรับสิ่งที่ OP ถูกมองหา ...
โดยปกติเมื่อบางคนเข้าสู่ระบบของผู้ใช้จากนั้นใน / var / log / ข้อความจะได้รับการพิมพ์เป็น:
sshd[18468]: Accepted keyboard-interactive/pam for root from 134.64.66.666 port 49867 ssh2
ดังนั้นเพียง grep ข้อความเป็น:
grep -E "Accepted keyboard-interactive/pam for" /var/log/messages
คุณยังสามารถแก้ไข bash shell เพื่อทำ rsylog
คุณติดตั้ง rsyslog บนรีโมตโฮสต์เพื่อรับการเชื่อมต่อที่เฉพาะ จากนั้นแก้ไขเชลล์โฮสต์ที่คุณต้องการตรวจสอบ - โดยการรวบรวมเวอร์ชั่นของคุณโดยใช้อันที่เปิดใช้งานต่อไปนี้:
vi config-top.h
#define SYSLOG_HISTORY
#if defined (SYSLOG_HISTORY)
# define SYSLOG_FACILITY LOG_USER
# define SYSLOG_LEVEL LOG_INFO
#endif
เมื่อคอมไพล์ด้วยการเปิดใช้งานนี้คุณสามารถแทนที่ทุบตีกับรุ่นนี้หรือให้ผู้ใช้เข้าสู่ระบบนี้โดยเปลี่ยนเส้นทางการเข้าสู่ระบบของพวกเขา
สำหรับข้อมูลเพิ่มเติม: