Como registrar toda a atividade SSH no servidor com o nome de host ou o nome de usuário do usuário?

1

Eu tenho um servidor Ubuntu e quero registrar toda a atividade SSH no meu servidor.

Para isso, encontrei um bom documento aqui ( link ). Eu segui este documento e habilitei o log no servidor. Eu registro os comandos com a seguinte linha:

export PROMPT_COMMAND='RETRN_VAL=$?;logger -p local6.debug "$(whoami) [$$]: $(history 1 | sed "s/^[ ]*[0-9]\+[ ]*//" ) [$RETRN_VAL]"

Ele dá o log de todos os comandos executados no meu servidor (localmente executado e SSHed). Anexei a saída do mesmo.

O que eu preciso é que, no arquivo de log, deve haver um nome de usuário ou o nome do host e o endereço IP público do usuário que usou para se conectar ao meu servidor local.

Alguém tem uma ideia sobre isso?

Arquivo de log de saída -

Aug 7 11:03:34 local ajay: ajay [1906]: sudo rm -rf commands.log*

Aug 7 11:03:36 local ajay: ajay [1906]: ll

Aug 7 11:03:59 local ajay: ajay [1906]: sudo rm -rf messages*

Aug 7 11:04:19 local ajay: ajay [1906]: sudo rm -rf usercommands

Aug 7 11:04:49 local ajay: ajay [1906]: sudo rm -rf history.log

Aug 7 11:05:11 local ajay: ajay [1906]: ll

Aug 7 11:05:21 local ajay: ajay [1906]: cat commands.log

Aug 7 11:05:33 local ajay: ajay [1906]: cat commands.log

Aug 7 11:05:46 local ajay: ajay [1906]: sudo chmod -R 777 commands.log

Aug 7 11:05:48 local ajay: ajay [1906]: cat commands.log

Aug 7 11:06:19 local ajay: ajay [1906]: cat commands.log
    
por Sachin 10.08.2018 / 06:14

1 resposta

0

A variável $ SSH_CONNECTION fornece as portas e os endereços IP de origem / destino usados pela conexão do usuário. Então, adicione-o como argumento ao seu comando logger.

Como em:

 export PROMPT_COMMAND='RETRN_VAL=$?;logger -p local6.debug "$SSH_CONNECTION $(whoami) [$$]: $(history 1 | sed "s/^[ ]*[0-9]\+[ ]*//" ) [$RETRN_VAL]"

Para mais detalhes, consulte O que são SSH_TTY e SSH_CONNECTION?

Quanto ao nome do host, isso depende da resolução do DNS. Você sempre pode criar scripts para resolver o DNS reverso dos logs. Não há nenhuma diretiva que eu saiba que resolva diretamente o nome DNS.

    
por 10.08.2018 / 10:37