Como posso configurar rsyslog para registrar os comandos digitados em uma sessão ssh?
Caso alguém não autorizado acesse o sistema, eu gostaria de saber o que ele fez.
O que parece para mim é que você quer auditar o que um usuário faz quando está logado em seu servidor. Isso é mais uma função do shell que seu usuário está executando (como o bash).
Confira link
Você provavelmente pode empregar a mesma coisa para qualquer usuário que esteja fazendo o login remotamente.
Não há muitas opções prontamente disponíveis para fazer isso no momento.
Alguns de meus colegas de trabalho no Laboratório Nacional Lawrence Berkeley (LBNL) lançaram uma série de correções para o OpenSSH como parte de suas auditing-sshd . O código está aberto e disponível sob a licença "BSD Simplified". auditing-sshd registra todas as teclas digitadas por um usuário, bem como uma tonelada de outras meta-informações sobre a transação SSH. Os dados são enviados usando syslog / stunnel para um IDS central. Algumas ferramentas de auditoria baseadas em shell podem ser ignoradas a partir da linha de comando. Como o código é incorporado ao OpenSSH, o atacante não pode ignorar a ferramenta enquanto estiver usando o SSH.
Veja o artigo e os slides do LISA 2011. O objetivo desses patches é permitir a auditoria de sessões de usuários em ambientes de pesquisa acadêmica e aberta, onde a auditoria é necessária como parte da política de segurança do site e a política de privacidade é bem compreendida pelos usuários.
Dito isto, os pacotes binários não estão prontamente disponíveis e o software é destinado a administradores que podem aplicar os patches na fonte OpenSSH e construir seus próprios pacotes.
Observação: Eu sou afiliado a este projeto. Eu trabalho na LBNL, conheço os autores pessoalmente e uso esse software regularmente .