Semua, saya memiliki host Ubuntu yang menerima koneksi SSH. Bagaimana saya bisa mencatat semua perintah yang dijalankan pada akun tertentu yang masuk melalui SSH?
@Lexicon: AFAIK tidak ada paket deb yang sudah dikompilasi tersedia, hanya arsip sumber. Menginstal aplikasi dari sumber dijelaskan di sini , misalnya. File INSTALL yang terletak di arsip sumber menjelaskan berbagai opsi konfigurasi yang dapat Anda atur sebelum mengompilasinya.
tohuwawohu
4
Anda dapat mencoba dengan snoopy. Setelah Anda menginstalnya, akan mencatat semua perintah input yang memanggil execve ke syslog. Anda hanya akan menemukannya di repo untuk hardy dan tepat.
auth.log berisi sesi dibuka dan ditutup info tetapi bukan perintah yang dijalankan saat login. .Bash_history hanya menampilkan perintah lokal, tidak melalui sesi ssh (setidaknya dari apa yang saya tahu)
Lexicon
~ / .bash_history tidak akan berfungsi karena pengguna dapat mengubah file.
Panther
.bash_history tidak menunjukkan apa yang terjadi melalui ssh.
Lexicon
Apa yang ada di dalam .bash_historytergantung pada bagaimana Anda mengkonfigurasinya. Ini mungkin menunjukkan apa pun dari campuran setiap sesi shell bersamaan untuk apa-apa. (Saya export HISTFILE=''di saya .bashrcpada semua sistem untuk mematikan rekaman sejarah karena alasan keamanan, misalnya.)
cjs
1
Saya memiliki masalah yang sama dan menulis alat log-user-session yang menyimpan semua output shell menjadi file log sesi sesi yang hanya dapat diakses oleh root. Itu dapat diaktifkan melalui perintah paksa pada sshd_conf atau ~ / .ssh / kunci yang diotorisasi (lihat dokumentasi ).
Anda dapat mencoba dengan snoopy. Setelah Anda menginstalnya, akan mencatat semua perintah input yang memanggil execve ke syslog. Anda hanya akan menemukannya di repo untuk hardy dan tepat.
Anda dapat menginstalnya dari sini .
sumber
Saya tidak berpikir SSHD mencatat perintah saat pengguna masuk.
Anda dapat memeriksa siapa yang masuk dengan memeriksa
/var/log/auth.log
dan referensi silang ke sejarah mereka
/home/sshuser/.bash_history
history akan memiliki perintah lokal atau jarak jauh.
sumber
.bash_history
tergantung pada bagaimana Anda mengkonfigurasinya. Ini mungkin menunjukkan apa pun dari campuran setiap sesi shell bersamaan untuk apa-apa. (Sayaexport HISTFILE=''
di saya.bashrc
pada semua sistem untuk mematikan rekaman sejarah karena alasan keamanan, misalnya.)Saya memiliki masalah yang sama dan menulis alat log-user-session yang menyimpan semua output shell menjadi file log sesi sesi yang hanya dapat diakses oleh root. Itu dapat diaktifkan melalui perintah paksa pada sshd_conf atau ~ / .ssh / kunci yang diotorisasi (lihat dokumentasi ).
sumber