Supondo que seja uma caixa do Linux, para ver as tentativas de conexão SSH, tente:
tail -f /var/log/auth.log
Existe alguma maneira de ouvir na porta 22, no meu servidor, para ver se alguém enviou algum comando enquanto o ssh'd está no meu servidor? Ou melhor, mostrar quais comandos foram enviados (e o endereço IP de quem se conectou), quase como um log 'ativo'?
Supondo que seja uma caixa do Linux, para ver as tentativas de conexão SSH, tente:
tail -f /var/log/auth.log
Você não pode escutar na porta (o SSH já está fazendo isso) e não é possível espionar o tráfego (ele é criptografado). O que você pode fazer é ativar Contabilidade do Processo . Isso mantém um registro de cada execução do processo e quanto tempo do processador foi usado para executá-lo.
Foi principalmente para o faturamento de pessoas usando sistemas de mainframe, mas ainda está por aí, e é bastante útil para a auditoria de segurança.
Esta entrada de FAQs.org informa tudo sobre como ativá-la: link
E, claro, não esqueça de ler as man pages desses úteis comandos contábeis.
No arquivo de configuração sshd , você pode alterar o shell chamado para um wrapper que registra tudo; talvez script . Eu nunca tentei isso, e seria difícil torná-lo à prova de falsificação.
Você não pode escutar diretamente na porta, pois o ssh é por design criptografado (SECURE SHell)
Não há um caminho padrão, mas adicionando
HISTFILE=/tmp/'whoami'-log
para o sistema bashrc ou algo assim provavelmente funcionaria supondo que seus usuários não são muito sábios.
Se você está preocupado com o que os usuários estão fazendo em sua máquina, você deve estar procurando alternativas como as cadeias do FreeBSD ou alguma forma ou shell restrito.