我正在探索在我的 Linux 服务器 [Oracle Linux 5x] 中捕获远程登录事件的方法。许多用户使用 rcp 和 rsh 协议连接到服务器,我希望捕获这些事件 [例如他们登录的服务器、unix id、rcp 的文件详细信息]
在我的 syslog.conf 中,我捕获了以下详细信息。local7.* /var/log/ftplogs authpriv.* /var/log/sftplog
我是否缺少了什么设施?
答案1
您需要rshd
从以下参数-L
开始:server_args
xinetd.conf
service shell {
disable = no
socket_type = stream
wait = no
user = root
log_on_success += USERID
log_on_failure += USERID
server = /usr/sbin/in.rshd
server_args = -L
}