SSH-Aktivität protokollieren

12

Alles in allem habe ich einen Ubuntu-Host, der SSH-Verbindungen akzeptiert. Wie kann ich alle Befehle protokollieren, die auf einem bestimmten Konto ausgeführt werden, das sich über SSH anmeldet?

Vielen Dank

ssh log Lexikon
quelle

Antworten:

5

Vielleicht können Sie sshd dazu bringen, eine Protokollierungsshell wie rootsh zu verwenden ?

tohuwawohu
quelle
Wie installiert man rootsh auf Ubuntu
Lexikon
@Lexikon: AFAIK Es gibt kein bereits kompiliertes Deb-Paket, nur ein Quellarchiv. Die Installation einer Anwendung aus dem Quellcode wird hier beispielsweise beschrieben. Die INSTALL-Datei im Quellarchiv beschreibt die verschiedenen Konfigurationsoptionen, die Sie vor dem Kompilieren festlegen können.
Tohuwawohu
4

Du kannst es mit Snoopy versuchen. Nach der Installation werden alle Eingabebefehle, die ausgeführt werden, in syslog protokolliert. Sie finden es nur in den Repos für robust und präzise.

Sie können es von hier aus installieren .

Nextoor
quelle
3

Ich glaube nicht, dass SSHD Befehle protokolliert, während der Benutzer angemeldet ist.

Sie können überprüfen, wer angemeldet ist, indem Sie überprüfen

/var/log/auth.log

und verweisen sie auf ihre Geschichte

/home/sshuser/.bash_history

Der Verlauf verfügt jedoch über lokale oder entfernte Befehle.

Matt Mootz
quelle
1
auth.log enthält Informationen zu geöffneten und geschlossenen Sitzungen, jedoch keine Befehle, die ausgeführt wurden, als Sie angemeldet waren. .Bash_history zeigt nur lokale Befehle an, nichts während der SSH-Sitzung (zumindest nach dem, was ich sagen kann).
Lexikon
~ / .bash_history funktioniert nicht, da der Benutzer die Datei ändern kann.
Panther
.bash_history zeigt nicht an, was mit ssh passiert.
Lexikon
Der Inhalt .bash_historyhängt davon ab, wie Sie ihn konfiguriert haben. Es kann alles von einer Mischung jeder gleichzeitigen Shell-Sitzung bis zu gar nichts anzeigen. (Ich export HISTFILE=''möchte .bashrcauf allen Systemen die Aufzeichnung aus Sicherheitsgründen deaktivieren.)
Curt J. Sampson,
1

Ich habe ein ähnliches Problem und habe das Tool log-user-session geschrieben, das die gesamte Shell-Ausgabe in einer nur für Root zugänglichen Sitzungsprotokolldatei speichert. Sie kann über einen erzwungenen Befehl auf sshd_conf- oder ~ / .ssh / -autorisierten Schlüsseln aktiviert werden (siehe Dokumentation ).

Konrad Bucheli
quelle