Como ver o que um usuário está fazendo em sua sessão ssh

4

Eu entrei em um servidor como root e fiz w , isso me permite ver que um usuário estava editando um arquivo.

someuser  pts/5    10.117.0.53      14:03    3:25   1.20s  1.14s vi somefile.py

Em seguida, desconectei e reconectei como root novamente mais tarde. Eu fiz um w novamente, mas dessa vez ele mostrou algo diferente.

someuser  pts/5    10.117.0.53      14:03    5:20   0.20s  0.02s sshd: someuser [priv]

Eu posso dizer nos outros campos que este é o mesmo usuário, mas desta vez o que eles estão fazendo está oculto.

Por que isso ficou oculto? Como eu vejo o que eles estão fazendo?

    
por LINUX G33NYUS 08.02.2018 / 20:59

3 respostas

5

Se um usuário estiver usando bash , você poderá adicionar ao seu /etc/bash.bashrc :

readonly PROMPT_COMMAND='history -a >(logger -t "commandlog $USER[$PWD] $SSH_CONNECTION")'

Isso registrará todos os comandos do usuário no syslog.

Eu configuraria syslog para encaminhar os logs para um servidor syslog central bloqueado, portanto, no caso de hacking ou de um administrador de sistemas nocivo, eles não seriam capazes de adulterar evidências.

    
por 08.02.2018 / 23:18
2

Se o auditd estiver ativado no sistema, você poderá visualizar os logs de auditoria para ver a atividade de comando dos usuários. Esse é um ótimo recurso que os administradores de sistema usam regularmente ao tentar solucionar problemas que possam ter sido causados por ações de outros usuários em relação ao sistema.

    
por 08.02.2018 / 21:34
1

Você pode tentar algo simples, como dar uma olhada no arquivo de histórico do usuário. Isso pressupõe que o shell do usuário é bash .

cat /home/someuser/.bash_history
    
por 08.02.2018 / 23:21