Multiple users are logging in with the same userID at the same time using SSH.
Honestamente, sua correção mais simples provavelmente será organizar para que cada pessoa faça o login no SEU PRÓPRIO USERID e faça seu trabalho dessa maneira. Se eles precisarem executar um aplicativo como um usuário específico, dê a eles a capacidade de executar o comando sobre sudo como em:
sudo -u <groupusername> /path/to/command.
Isto irá registrar a ação no log do sistema, se o sudo estiver configurado corretamente, e o sudo tiver algum registro razoavelmente bom e estendido disponível.
Você pode obter realmente granular com o sudo. É muito útil para isso.
Se nada mais você pode configurar o fluxo de trabalho de tal forma que as pessoas ssh no servidor, em seguida, sudo su - o que lhe dará uma melhor chance de rastreá-los ao longo do tempo.
O problema com a configuração do arquivo de histórico é que ele pode ser banido por um usuário, já que é de propriedade dele.
A partir de uma breve leitura da auditoria do AIX, parece que irá auditar por usuário e não por login. No entanto ICBW sobre isso. Eu ainda o ligaria.
Então, na minha opinião (e enquanto eu não me vender como especialista em segurança , eu tenho um CISSP e mantenho a Educação Continuada relacionada a essa certificação) você precisa entrar em contato com seu departamento de segurança e determinar quais padrões de conformidade, se houver algum, precisam ser atendidos (nos EUA eu esperaria que um banco tivesse que atender pelo menos Dodd-Frank, PCI e SoX), e o que precisa ser feito para trazer o seu sistema em conformidade com isso.
Eu, então, levaria essa lista para a gerência e explicaria que isso não era realmente opcional no ambiente de hoje e que poderia haver multas / taxas bastante caras se você não estivesse disposto a fazer rapé e decidir como ir adiante. .
Nesse meio tempo, eu transformaria todo o meu registro em 11, e começaria a rastreá-lo procurando maneiras de correlacionar o que ele está me dizendo. No AIX, especialmente com a auditoria ativada, você pode ser capaz de comparar eventos em vários arquivos de log.
Como um exemplo trivial, há muito tempo recebi uma chamada do Suporte Técnico para saber por que um determinado servidor tinha "travado". Passei cerca de 30 segundos vasculhando os logs quando notei que no T - 5 alguém tinha logado como "root" (má idéia de ter que abrir) e, em seguida, o comando de desligamento foi emitido.
"Oh. Deve ter sido meu parceiro. Não importa." "Posso fechar o caso?" "Sim".
O problema com isto é que você deve acabar em um caso criminal, onde suas correlações são parte da evidência ... Oh Boy. Eu não gostaria de estar nessa posição.