rsyslogSSH 세션에 입력된 명령을 기록하도록 어떻게 설정할 수 있습니까 ?
만약 승인되지 않은 누군가가 시스템에 접근하는 경우를 대비해, 그가 무엇을 했는지 알고 싶습니다.
답변1
제가 보기에는 사용자가 서버에 로그인한 후 무엇을 하는지 감사하고 싶은 것 같습니다. 이는 실제로 사용자가 실행하는 쉘(예: bash)의 기능에 가깝습니다.
확인해 보세요https://askubuntu.com/questions/93566/how-to-log-all-bash-commands-by-all-users-on-a-server
원격으로 로그인하는 모든 사용자에 대해 동일한 기능을 사용할 수 있습니다.
답변2
현재로서는 이 작업을 수행할 수 있는 옵션이 많지 않습니다.
내 동료 중 일부는로렌스 버클리 국립 연구소(LBNL)OpenSSH에 대한 일련의 패치를 발표했습니다.감사-sshd프로젝트. 코드는 공개되어 있으며 "BSD Simplified" 라이센스에 따라 사용할 수 있습니다. auditing-sshd사용자가 입력한 모든 키 입력과 SSH 트랜잭션에 대한 기타 수많은 메타 정보를 기록합니다. 데이터는 syslog/stunnel을 사용하여 중앙 IDS로 전송됩니다. 일부 셸 기반 감사 도구는 명령줄에서 우회할 수 있습니다. 코드가 OpenSSH에 내장되어 있으므로 공격자는 SSH를 사용하는 동안 도구를 우회할 수 없습니다.
LISA 2011 논문과 슬라이드를 참조하세요. 이 패치의 목적은 감사가 이루어지는 학술 및 공개 연구 환경에서 사용자 세션을 감사할 수 있도록 하는 것입니다.필수의사이트 보안 정책의 일환으로 개인 정보 보호 정책을 사용자가 잘 이해하고 있습니다.
즉, 바이너리 패키지는 쉽게 사용할 수 없으며 소프트웨어는 OpenSSH 소스에 패치를 적용하고 자체 패키지를 구축할 수 있는 관리자를 위한 것입니다.
메모:나는 이 프로젝트에 참여하고 있습니다.저는 LBNL에서 일하고 있으며 저자를 개인적으로 알고 있으며 이 소프트웨어를 정기적으로 사용합니다.