Tudo, eu tenho um host Ubuntu que aceita conexões SSH. Como posso registrar todos os comandos executados em uma conta específica que efetua login via SSH?
@ Lexicon: AFAIK não existe um pacote deb já compilado disponível, apenas um arquivo de origem. A instalação de um aplicativo da fonte é descrita aqui , por exemplo. O arquivo INSTALL localizado no arquivo de origem descreve as diferentes opções de configuração que você pode definir antes de compilá-lo.
tohuwawohu
4
Você pode tentar com snoopy. Após a instalação, registrará todos os comandos de entrada que chamam execve para syslog. você só encontrará isso nos repositórios para ser resistente e preciso.
auth.log contém informações de sessão aberta e fechada, mas não comandos que foram executados durante o logon.
Lexicon
~ / .bash_history não funcionará, pois o usuário poderá alterar o arquivo.
Panther
.bash_history não está mostrando o que acontece via ssh.
Lexicon
O .bash_historyconteúdo depende de como você o configurou. Pode mostrar qualquer coisa, desde uma mistura de todas as sessões simultâneas do shell até nada. (I export HISTFILE=''no meu .bashrcem todos os sistemas para desligar a gravação história por razões de segurança, por exemplo.)
CJS
1
Eu tenho um problema semelhante e escrevi a ferramenta log-user-session que armazena toda a saída do shell em um arquivo de log de sessão acessível somente pela raiz. Ele pode ser ativado via comando forçado em sshd_conf ou ~ / .ssh / chaves autorizadas (consulte a documentação ).
Você pode tentar com snoopy. Após a instalação, registrará todos os comandos de entrada que chamam execve para syslog. você só encontrará isso nos repositórios para ser resistente e preciso.
Você pode instalá-lo aqui .
fonte
Não acho que o SSHD registre comandos enquanto o usuário estiver conectado.
você pode verificar quem efetuou login, verificando
/var/log/auth.loge faça referência cruzada à sua história
/home/sshuser/.bash_historyo histórico terá comandos locais ou remotos.
fonte
.bash_historyconteúdo depende de como você o configurou. Pode mostrar qualquer coisa, desde uma mistura de todas as sessões simultâneas do shell até nada. (Iexport HISTFILE=''no meu.bashrcem todos os sistemas para desligar a gravação história por razões de segurança, por exemplo.)Eu tenho um problema semelhante e escrevi a ferramenta log-user-session que armazena toda a saída do shell em um arquivo de log de sessão acessível somente pela raiz. Ele pode ser ativado via comando forçado em sshd_conf ou ~ / .ssh / chaves autorizadas (consulte a documentação ).
fonte