Как регистрировать все события, которые произошли с помощью сеанса SSH?

Вопрос : на примере: Linux или AIX-машина, как мы можем регистрировать вещи, которые произошли с помощью ssh? например: пользователь вошел в систему, выделил несколько команд или автоматизированный инструмент выполнил что-то через ssh или кто-то просто выпустил команду «ssh root @ server commandhere»?

  • Почему я получаю это сообщение всякий раз, когда я открываю терминал?
  • Есть ли способ узнать, произошел ли перерыв в сети из журналов?
  • Logstash: сообщение о нарушении связи не выполнено
  • Перенаправить вывод программы в файл с лимитом номера строки
  • Keepalived - возможно ли изменить каталог файла журнала?
  • Где просмотреть журнал ошибок для уже готовой команды tar tar?
  • почему файлы второго лога на / var / log не сжаты
  • Почему в /var/log/kern.log есть нули?
  • 2 Solutions collect form web for “Как регистрировать все события, которые произошли с помощью сеанса SSH?”

    AIX имеет это место для оболочки ksh по умолчанию, файлы создаются в каждом пользовательском homedir с именем .sh_history

    Мне всегда нравится добавлять переменную оболочки EXTENDED_HISTORY=ON (например, экспортировать ее в /etc/profile )

    Теперь вы можете просмотреть историю с history -t или fc -t .

    Имейте в виду, что файл истории создается только в том случае, если запущена интерактивная оболочка, поэтому я не совсем уверен, что команды из сценариев регистрируются здесь.

    Если вам действительно нужно иметь этот журнал, и больше я бы советовал проверить реестр книг IBM Auditing и Accounting или пойти с такими инструментами, как tripwire .

    Команда sudo поставляется с возможностью проверки и повторного сеанса воспроизведения. В то время как большинство людей используют sudo для выполнения команд как root , вы можете определить простое правило, которое позволяет пользователям только sudo для себя (например, ничего, что они уже не могли сделать!)

    Используя sudosh в качестве оболочки входа пользователя, вы можете обеспечить, чтобы все было зарегистрировано ( stdin , stdout , stderr и т. Д.). Это касается как интерактивных, так и неинтерактивных оболочек и журналов абсолютно все – даже то, что появляется внутри редактора, такого как vim .

    Используя команду sudoreplay , вы можете просмотреть сеансовые транскрипты. Он даже воспроизводит журналы, где пользователь вводит интерактивную программу, такую ​​как vim .

    Включение журналов аудита sudo сессий очень просто.

    Добавьте это в /etc/sudoers.d/sudosh

     Defaults log_output Defaults!/usr/bin/sudoreplay !log_output Defaults!/sbin/reboot !log_output 

    Чтобы пользователи могли использовать sudo для себя, добавьте строку, подобную этой, в файл, например /etc/sudoers.d/sudosh.osterman :

     osterman ALL=(osterman) ALL 

    Затем, чтобы принудительно выполнить сеанс пользователя (например, osterman ), запустите:

     chsh -s /usr/bin/sudosh osterman 

    Скачайте sudosh здесь . Предполагается, что вы уже установили sudo .

    Interesting Posts

    Следите за временем ssh'd в рабочий компьютер для карты времени

    Gnome3.6.2 – чаты эмпатии не появляются в панели уведомлений через некоторое время в fedora 18

    Как напечатать несколько строк из середины файла с помощью команд оболочки unix?

    Проблема с прежними настройками жесткого диска RAID в Linux Mint 17

    Linux EMC scan Lun не работает

    Как просмотреть имя документа для задания на печать

    Команда Bash для источника файла в другом каталоге?

    Backtrack 5 R3 – отказывается подключаться к VPN

    Cant переназначить L_shift в L_control, если я не переназначу L_control на что-то еще в xkb

    список всех компонентов компьютера ARM в Linux?

    Как автоматически запустить TightVNC-сервер как root при запуске Ubuntu?

    grep, похоже, игнорирует – include

    Помимо /etc/rc.conf, какие другие файлы конфигурации управляют системными службами во время загрузки?

    Как я могу отключить автозапуск lightdm из командной строки, когда невозможно получить сеанс GUI?

    Команда find: опции «-mindepth» конфликтуют с действием «-prune»

    Linux и Unix - лучшая ОС в мире.