¿Cómo puedo configurar rsyslogpara registrar comandos escritos en una sesión ssh?
En caso de que alguien no autorizado acceda alguna vez al sistema, me gustaría saber qué hizo.
Respuesta1
Lo que me parece es que quieres auditar lo que hace un usuario una vez que inicia sesión en tu servidor. En realidad, esto es más una función del shell que ejecuta su usuario (como bash).
Verificarhttps://askubuntu.com/questions/93566/how-to-log-all-bash-commands-by-all-users-on-a-server
Probablemente pueda emplear lo mismo para cualquier usuario que inicie sesión de forma remota.
Respuesta2
No hay muchas opciones disponibles para hacer esto en este momento.
Algunos de mis compañeros de trabajo enLaboratorio Nacional Lawrence Berkeley (LBNL)han lanzado una serie de parches para OpenSSH como parte de suauditoría-sshdproyecto. El código está abierto y disponible bajo la licencia "BSD Simplificada". auditing-sshdregistra todas las pulsaciones de teclas escritas por un usuario, así como un montón de otra metainformación sobre la transacción SSH. Los datos se envían mediante syslog/stunnel a un IDS central. Algunas herramientas de auditoría basadas en shell se pueden omitir desde la línea de comandos. Dado que el código está integrado en OpenSSH, el atacante no puede omitir la herramienta mientras usa SSH.
Ver el documento y las diapositivas de LISA 2011. El propósito de estos parches es permitir la auditoría de sesiones de usuarios en entornos académicos y de investigación abiertos donde la auditoría esrequeridocomo parte de la política de seguridad del sitio y la política de privacidad es bien comprendida por los usuarios.
Dicho esto, los paquetes binarios no están disponibles y el software está destinado a administradores que pueden aplicar los parches en la fuente OpenSSH y crear sus propios paquetes.
Nota:Estoy afiliado a este proyecto.Trabajo en LBNL, conozco personalmente a los autores y uso este software con regularidad.