如何設定rsyslog記錄在 ssh 會話中鍵入的命令?
以防萬一有人未經授權存取系統,我想知道他做了什麼。
答案1
在我看來,您想要審核用戶登入您的伺服器後所做的事情。這實際上更多的是您的用戶正在運行的 shell(如 bash)的功能。
查看https://askubuntu.com/questions/93566/how-to-log-all-bash-commands-by-all-users-on-a-server
您可能可以對任何遠端登入的使用者使用相同的方法。
答案2
目前沒有很多現成的選項可以做到這一點。
我的一些同事在勞倫斯伯克利國家實驗室 (LBNL)作為他們的一部分,發布了一系列 OpenSSH 補丁審計-sshd專案.該程式碼是開放的,可以在“BSD Simplified”許可證下使用。auditing-sshd記錄使用者鍵入的所有擊鍵,以及大量其他有關 SSH 事務的元資訊。資料使用 syslog/stunnel 發送到中央 IDS。一些基於 shell 的審核工具可以從命令列繞過。由於程式碼嵌入到 OpenSSH 中,攻擊者在使用 SSH 時無法繞過該工具。
請參閱 LISA 2011 論文和幻燈片。這些補丁的目的是允許在學術和開放研究環境中審計使用者會話。必需的作為網站安全政策和隱私權政策的一部分,使用者很容易理解。
也就是說,二進位套件並不容易取得,該軟體適用於管理員,他們可以將修補程式應用到 OpenSSH 來源並建立自己的套件。
筆記:我隸屬於這個項目。我在勞倫斯伯克利國家實驗室工作,我認識作者並且經常使用這個軟體。