Как регистрировать все события, которые произошли с помощью сеанса SSH?

Вопрос : на примере: Linux или AIX-машина, как мы можем регистрировать вещи, которые произошли с помощью ssh? например: пользователь вошел в систему, выделил несколько команд или автоматизированный инструмент выполнил что-то через ssh или кто-то просто выпустил команду «ssh root @ server commandhere»?

2 Solutions collect form web for “Как регистрировать все события, которые произошли с помощью сеанса SSH?”

AIX имеет это место для оболочки ksh по умолчанию, файлы создаются в каждом пользовательском homedir с именем .sh_history

Мне всегда нравится добавлять переменную оболочки EXTENDED_HISTORY=ON (например, экспортировать ее в /etc/profile )

Теперь вы можете просмотреть историю с history -t или fc -t .

Имейте в виду, что файл истории создается только в том случае, если запущена интерактивная оболочка, поэтому я не совсем уверен, что команды из сценариев регистрируются здесь.

Если вам действительно нужно иметь этот журнал, и больше я бы советовал проверить реестр книг IBM Auditing и Accounting или пойти с такими инструментами, как tripwire .

Команда sudo поставляется с возможностью проверки и повторного сеанса воспроизведения. В то время как большинство людей используют sudo для выполнения команд как root , вы можете определить простое правило, которое позволяет пользователям только sudo для себя (например, ничего, что они уже не могли сделать!)

Используя sudosh в качестве оболочки входа пользователя, вы можете обеспечить, чтобы все было зарегистрировано ( stdin , stdout , stderr и т. Д.). Это касается как интерактивных, так и неинтерактивных оболочек и журналов абсолютно все – даже то, что появляется внутри редактора, такого как vim .

Используя команду sudoreplay , вы можете просмотреть сеансовые транскрипты. Он даже воспроизводит журналы, где пользователь вводит интерактивную программу, такую ​​как vim .

Включение журналов аудита sudo сессий очень просто.

Добавьте это в /etc/sudoers.d/sudosh

 Defaults log_output Defaults!/usr/bin/sudoreplay !log_output Defaults!/sbin/reboot !log_output 

Чтобы пользователи могли использовать sudo для себя, добавьте строку, подобную этой, в файл, например /etc/sudoers.d/sudosh.osterman :

 osterman ALL=(osterman) ALL 

Затем, чтобы принудительно выполнить сеанс пользователя (например, osterman ), запустите:

 chsh -s /usr/bin/sudosh osterman 

Скачайте sudosh здесь . Предполагается, что вы уже установили sudo .

  • Сохранять и очищать журналы событий и безопасности
  • Может ли меньше загружать строки, которые были добавлены в файл после открытия?
  • почему файлы второго лога на / var / log не сжаты
  • Есть ли способ узнать, произошел ли перерыв в сети из журналов?
  • Система WHEN снизилась (выключение питания)
  • Почему я получаю это сообщение всякий раз, когда я открываю терминал?
  • Где просмотреть журнал ошибок для уже готовой команды tar tar?
  • Форматировать журналы, чтобы добавить некоторые строки, только если есть ошибка
  • почему utmp, wtmp и btmp называются такими, какие они есть?
  • Регистрация полных путей к печатным файлам в CUPS
  • Почему в /var/log/kern.log есть нули?
  • Interesting Posts

    Регулярные выражения с ExpectJ

    Linux / Unix (как блокировать порты для определенного процесса)

    В чем опасность установки максимального предела максимальным дескрипторам файлов для каждого процесса?

    Как расширить метаданные btrfs?

    Я случайно удалил своего пользователя из нескольких групп, как узнать, какими они были?

    Как обнаружить / предотвратить сбои при сбое системы в сети

    Запустить скрипт на нескольких оболочках?

    Как программно повернуть экран в Gnome 3.28 (Wayland)?

    Оценка использования файлового пространства на устройстве (не в каталоге)

    Контроль вентилятора Linux?

    Я могу ssh на удаленную машину, но я не могу использовать scp для копирования локальных файлов на удаленную машину

    Установка XDG_DATA_HOME и XDG_CONFIG_HOME для компиляции / для каждой программы

    Как настроить группы для правильного обмена ресурсами между пользователями?

    Какова правильная компоновка символических ссылок, позволяющих совместно использовать совместно используемые библиотеки openssl 1.1.0 и 1.0.2?

    Как происходит автоматическая перезагрузка?

    Linux и Unix - лучшая ОС в мире.