Como posso configurar rsyslogpara registrar comandos digitados em uma sessão ssh?
Caso alguém não autorizado acesse o sistema, gostaria de saber o que ele fez.
Responder1
O que me parece é que você deseja auditar o que um usuário faz quando está conectado ao seu servidor. Na verdade, isso é mais uma função do shell que seu usuário está executando (como o bash).
Confirahttps://askubuntu.com/questions/93566/how-to-log-all-bash-commands-by-all-users-on-a-server
Você provavelmente pode empregar a mesma coisa para qualquer usuário que esteja fazendo login remotamente.
Responder2
Não há muitas opções disponíveis para fazer isso no momento.
Alguns dos meus colegas de trabalho emLaboratório Nacional Lawrence Berkeley (LBNL)lançaram uma série de patches para OpenSSH como parte de seuauditoria-sshdprojeto. O código está aberto e disponível sob a licença "BSD Simplified". auditing-sshdregistra todas as teclas digitadas por um usuário, bem como uma tonelada de outras metainformações sobre a transação SSH. Os dados são enviados usando syslog/stunnel para um IDS central. Algumas ferramentas de auditoria baseadas em shell podem ser ignoradas na linha de comando. Como o código está incorporado ao OpenSSH, o invasor não pode ignorar a ferramenta ao usar o SSH.
Veja o documento e os slides da LISA 2011. O objetivo desses patches é permitir a auditoria de sessões de usuários em ambientes acadêmicos e de pesquisa aberta onde a auditoria éobrigatóriocomo parte da política de segurança do site e a política de privacidade é bem compreendida pelos usuários.
Dito isto, os pacotes binários não estão prontamente disponíveis e o software é destinado a administradores que podem aplicar os patches no código-fonte OpenSSH e construir seus próprios pacotes.
Observação:Sou afiliado a este projeto.Trabalho no LBNL, conheço pessoalmente os autores e utilizo este software regularmente.