Como auditar o TTY para um usuário especificado na conexão ssh?

0

Eu preciso de um método para auditar comandos que um usuário especificado digita em uma conexão ssh com meu servidor.

Alguma ajuda?

    
por nux 17.02.2014 / 19:18

1 resposta

3

Se o usuário não estiver intencionalmente ocultando sua atividade, algo assim funcionaria?:

cat ~/.bash_history | grep "name_of_command"

Ou

cat /home/user_name_here/.bash_history | grep search_string

Embora possa ser uma solução melhor para ativar a auditoria TTY do PAM (Pluggable Authentication Modules): pam_tty_audit.8

Instale auditd (nota: certifique-se de que o servidor ssh esteja instalado) e reinicie:

sudo apt-get install auditd && sudo reboot

Remova qualquer pam_tty_audit:

sed '/pam_tty_audit.so disable=/d' /etc/pam.d/sshd

Anexar sequência de ativação aos arquivos de configuração pam.d:

sudo sh -c "echo 'session required pam_tty_audit.so enable=*' >> /etc/pam.d/sshd"

Iniciar o auditd:

sudo service auditd status

Se não estiver em execução:

sudo service auditd start

E grep tty report para um usuário UID:

sudo aureport --tty | grep $(id -u username_here)

Leitura relacionada:

link

link

link

    
por jmunsch 17.02.2014 / 22:06