Как настроить rsyslogрегистрацию команд, введенных в сеансе SSH?
На всякий случай, если кто-то несанкционированно получит доступ к системе, я хотел бы знать, что он сделал.
решение1
Мне это напоминает то, что вы хотите проверить, что делает пользователь после того, как он вошел на ваш сервер. Это на самом деле больше функция оболочки, которую запускает ваш пользователь (вроде bash).
Проверитьhttps://askubuntu.com/questions/93566/how-to-log-all-bash-commands-by-all-users-on-a-server
Вероятно, вы можете применить то же самое к любому пользователю, который входит в систему удаленно.
решение2
На данный момент существует не так много доступных вариантов сделать это.
Некоторые из моих коллег вНациональная лаборатория Лоуренса в Беркли (LBNL)выпустили серию исправлений для OpenSSH в рамках своейаудит-sshdпроект. Код открыт и доступен по лицензии "BSD Simplified". auditing-sshdрегистрирует все нажатия клавиш, набранные пользователем, а также массу другой метаинформации о транзакции SSH. Данные отправляются с помощью syslog/stunnel в центральную IDS. Некоторые инструменты аудита на основе оболочки можно обойти из командной строки. Поскольку код встроен в OpenSSH, злоумышленник не может обойти инструмент, используя SSH.
См. документ и слайды LISA 2011. Цель этих патчей — разрешить аудит сеансов пользователей в академических и открытых исследовательских средах, где аудитнеобходимыйкак часть политики безопасности сайта и политики конфиденциальности, хорошо понятна пользователям.
Тем не менее, двоичные пакеты не являются общедоступными, и программное обеспечение предназначено для администраторов, которые могут применять исправления к исходному коду OpenSSH и создавать свои собственные пакеты.
Примечание:Я имею отношение к этому проекту.Я работаю в LBNL, лично знаю авторов и регулярно пользуюсь этой программой.