Enregistrer l'activité SSH

12

Tout, j'ai un hôte Ubuntu qui accepte les connexions SSH. Comment puis-je enregistrer toutes les commandes exécutées sur un compte spécifique qui se connecte via SSH?

Merci

Lexique
la source

Réponses:

5

Peut-être que vous pouvez faire en sorte que sshd utilise un shell de journalisation comme rootsh ?

tohuwawohu
la source
comment installer rootsh sur Ubuntu
Lexicon
@Lexicon: AFAIK, il n'y a pas de paquet deb déjà compilé disponible, juste une archive source. L'installation d'une application à partir des sources est décrite ici , par exemple. Le fichier INSTALL situé dans l'archive source décrit les différentes options de configuration que vous pouvez définir avant de le compiler.
tohuwawohu
4

Vous pouvez essayer avec snoopy. Après l'avoir installé, enregistre toutes les commandes d'entrée qui appellent execve vers syslog. vous ne le trouverez que dans les dépôts pour hardy et précis.

Vous pouvez l'installer à partir d' ici .

Nextoor
la source
3

Je ne pense pas que SSHD enregistre les commandes lorsque l'utilisateur est connecté.

vous pouvez vérifier qui s'est connecté en vérifiant

/var/log/auth.log

et le renvoyer à leur histoire

/home/sshuser/.bash_history

l'histoire aura cependant des commandes locales ou distantes.

Matt Mootz
la source
1
auth.log contient des informations sur les sessions ouvertes et fermées, mais pas sur les commandes qui ont été exécutées lors de la connexion.
Lexicon
~ / .bash_history ne fonctionnera pas car l'utilisateur peut modifier le fichier.
Panther
.bash_history n'affiche pas ce qui se passe via ssh.
Lexicon
Le contenu .bash_historydépend de la façon dont vous l'avez configuré. Il peut afficher n'importe quoi, d'un mélange de chaque session shell simultanée à rien du tout. (J'ai export HISTFILE=''dans mon .bashrcsur tous les systèmes pour désactiver l'historique d'enregistrement pour des raisons de sécurité, par exemple.)
cjs
1

J'ai un problème similaire et j'ai écrit l'outil log-user-session qui stocke toutes les sorties du shell dans un fichier journal de session accessible uniquement à la racine. Il peut être activé via une commande forcée sur sshd_conf ou sur les clés ~ / .ssh / autorisées (voir documentation ).

Konrad Bucheli
la source