Eu entrei em um servidor como root e fiz w , isso me permite ver que um usuário estava editando um arquivo.
someuser pts/5 10.117.0.53 14:03 3:25 1.20s 1.14s vi somefile.py
Em seguida, desconectei e reconectei como root novamente mais tarde. Eu fiz um w novamente, mas dessa vez ele mostrou algo diferente.
someuser pts/5 10.117.0.53 14:03 5:20 0.20s 0.02s sshd: someuser [priv]
Eu posso dizer nos outros campos que este é o mesmo usuário, mas desta vez o que eles estão fazendo está oculto.
Por que isso ficou oculto? Como eu vejo o que eles estão fazendo?
Se um usuário estiver usando bash , você poderá adicionar ao seu /etc/bash.bashrc :
readonly PROMPT_COMMAND='history -a >(logger -t "commandlog $USER[$PWD] $SSH_CONNECTION")'
Isso registrará todos os comandos do usuário no syslog.
Eu configuraria syslog para encaminhar os logs para um servidor syslog central bloqueado, portanto, no caso de hacking ou de um administrador de sistemas nocivo, eles não seriam capazes de adulterar evidências.
Se o auditd estiver ativado no sistema, você poderá visualizar os logs de auditoria para ver a atividade de comando dos usuários. Esse é um ótimo recurso que os administradores de sistema usam regularmente ao tentar solucionar problemas que possam ter sido causados por ações de outros usuários em relação ao sistema.
Você pode tentar algo simples, como dar uma olhada no arquivo de histórico do usuário. Isso pressupõe que o shell do usuário é bash .
cat /home/someuser/.bash_history
Tags ssh administration linux w