Catat aktivitas SSH

12

Semua, saya memiliki host Ubuntu yang menerima koneksi SSH. Bagaimana saya bisa mencatat semua perintah yang dijalankan pada akun tertentu yang masuk melalui SSH?

Terima kasih

Kamus
sumber

Jawaban:

5

Mungkin Anda dapat membuat sshd menggunakan shell logging seperti rootsh ?

tohuwawohu
sumber
bagaimana Anda menginstal rootsh di Ubuntu
Lexicon
@Lexicon: AFAIK tidak ada paket deb yang sudah dikompilasi tersedia, hanya arsip sumber. Menginstal aplikasi dari sumber dijelaskan di sini , misalnya. File INSTALL yang terletak di arsip sumber menjelaskan berbagai opsi konfigurasi yang dapat Anda atur sebelum mengompilasinya.
tohuwawohu
4

Anda dapat mencoba dengan snoopy. Setelah Anda menginstalnya, akan mencatat semua perintah input yang memanggil execve ke syslog. Anda hanya akan menemukannya di repo untuk hardy dan tepat.

Anda dapat menginstalnya dari sini .

Selanjutnya
sumber
3

Saya tidak berpikir SSHD mencatat perintah saat pengguna masuk.

Anda dapat memeriksa siapa yang masuk dengan memeriksa

/var/log/auth.log

dan referensi silang ke sejarah mereka

/home/sshuser/.bash_history

history akan memiliki perintah lokal atau jarak jauh.

Matt Mootz
sumber
1
auth.log berisi sesi dibuka dan ditutup info tetapi bukan perintah yang dijalankan saat login. .Bash_history hanya menampilkan perintah lokal, tidak melalui sesi ssh (setidaknya dari apa yang saya tahu)
Lexicon
~ / .bash_history tidak akan berfungsi karena pengguna dapat mengubah file.
Panther
.bash_history tidak menunjukkan apa yang terjadi melalui ssh.
Lexicon
Apa yang ada di dalam .bash_historytergantung pada bagaimana Anda mengkonfigurasinya. Ini mungkin menunjukkan apa pun dari campuran setiap sesi shell bersamaan untuk apa-apa. (Saya export HISTFILE=''di saya .bashrcpada semua sistem untuk mematikan rekaman sejarah karena alasan keamanan, misalnya.)
cjs
1

Saya memiliki masalah yang sama dan menulis alat log-user-session yang menyimpan semua output shell menjadi file log sesi sesi yang hanya dapat diakses oleh root. Itu dapat diaktifkan melalui perintah paksa pada sshd_conf atau ~ / .ssh / kunci yang diotorisasi (lihat dokumentasi ).

Konrad Bucheli
sumber