Como registrar todas as coisas que aconteceram através de uma sessão SSH?

Question

Como registrar todas as coisas que aconteceram através de uma sessão SSH?

#1 resposta do (2 votos)
#2 resposta do (2 votos)
#3 resposta do (2 votos)

1

Pergunta : em um ex .: máquina Linux ou AIX, como podemos registrar as coisas que aconteceram via ssh? ex .: um usuário logado, deu alguns comandos, ou uma ferramenta automatizada executou algo via ssh ou alguém simplesmente emitiu um comando "ssh root @ serverherehere"?

logs

por freaking-good-question 27.04.2015 / 18:25

3 respostas

Tags logs

dividindo uma imagem em várias partes Armazene stdout e stderr no arquivo e, em seguida, recrie a saída posteriormente

score 2 · Answer 1

O AIX tem este lugar para o shell padrão ksh , os arquivos são criados no homedir de cada usuário chamado .sh_history

Sempre gostei da adição da variável EXTENDED_HISTORY=ON shell (exporte em /etc/profile , por exemplo)

Agora você pode ver o histórico com history -t ou fc -t .

Por favor, esteja ciente de que o arquivo de histórico é criado apenas se um shell interativo for iniciado, então não tenho certeza se os comandos dos scripts estão registrados aqui.

Se você realmente precisa ter esse registro, e mais eu aconselho verificar a Auditoria da IBM e Redbook de contabilidade ou use ferramentas como tripwire .

score 2 · Answer 2

O comando sudo é fornecido com a capacidade de auditar e reproduzir sessões novamente. Enquanto a maioria das pessoas usa sudo para executar comandos como root , você pode definir uma regra simples que permite aos usuários apenas sudo (por exemplo, nada que eles já não pudessem fazer!)

Usando sudosh como o shell de login do usuário, você pode impor que tudo seja registrado ( stdin , stdout , stderr , etc). Ele se aplica a shells interativos e não interativos e registra absolutamente tudo - até mesmo o que acontece dentro de um editor como vim .

Usando o comando sudoreplay , você pode revisar as transcrições de sessão. Ele irá até mesmo repetir registros em que o usuário entrou em um programa interativo como vim .

Ativar registros de auditoria de sudo sessions é fácil.

Adicione isso a /etc/sudoers.d/sudosh

Defaults log_output
Defaults!/usr/bin/sudoreplay !log_output
Defaults!/sbin/reboot !log_output

Para permitir que os usuários utilizem sudo , adicione uma linha como essa em um arquivo como /etc/sudoers.d/sudosh.osterman :

osterman ALL=(osterman) ALL

Em seguida, para forçar a sessão de um usuário (por exemplo, osterman ) a ser registrada, execute:

chsh -s /usr/bin/sudosh osterman

Faça o download de sudosh aqui . Ele assume que você já instalou sudo .

score 2 · Answer 3

PaSSHport responde a este problema. É open source e é colocado sobre o OpenSSH para gerenciar o acesso ssh.

Quando um usuário se conectar (ou iniciar um comando diretamente como em "ssh root @ server commandhere"), ele iniciará o comando / log do script. Então, depois, um "superadmin" pode verificar os logs e verificar todos os comandos ... e seus resultados, se for através de um script.

O soft é bastante novo, mas já usado em um ambiente enorme.