Instalei o OpenSUSE no meu servidor e quero definir o ssh para registrar todos os comandos, que são enviados para o sistema.
Eu encontrei isso no meu sshd_config:
# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO
Eu acho que ambas as diretivas precisam ser descomentadas, mas eu gostaria de registrar todos os comandos, não apenas a autorização (login / logout via SSH). Eu só quero saber, se alguém invadir meu sistema, o que ele fez.
history faz isso automaticamente, faça login como o usuário que efetuou login por meio do ssh e execute:
history
Ele mostra o histórico de comandos executados por esse usuário específico.
history > command.log
salvará o histórico no arquivo " command.log "
Mais sobre history : link e link
O histórico da linha de comando também deve ser armazenado em .bash_history (arquivo no diretório pessoal do usuário) ao usar o bash (corretamente).
Sua melhor aposta seria instalar Fail2Ban e ignorar o registro em SSH. Evitar a invasão vale muito mais do que ver o que um invasor poderia ter feito. Especialmente quando você assume que ele interrompe, ele pode remover o arquivo de log.
Se alguém invadir seu sistema, ele provavelmente será esperto o suficiente para excluir o arquivo de histórico e adulterar os logs. Para tornar as coisas mais difíceis para o vilão:
você disse que queria registrar todos os "comandos". Eu suponho que você quer dizer todos os comandos inseridos no shell do usuário (seja um usuário legítimo ou não). Nos links a seguir, existem muitas ferramentas que podem fazer isso de uma maneira mais ou menos segura:
nota: como @ Janne-Pikkarainen disse, se você quiser ter logs realmente seguros, deve enviar seus arquivos de log para outra máquina.