如何监控 SSH 会话中发生的情况？

Question 1

方法#1 - 在另一个端口上使用 sshd

$ /usr/sbin/sshd -ddd -D -p (port) 2>&1

然后连接到它：

$ ssh -p (port)

方法#2 - 更改 sshd 的配置文件

$ vim /etc/ssh/sshd_config

然后更改日志级别：

LogLevel DEBUG3

然后重新启动sshd。

$ service sshd restart

sshd_config 手册页

$ man sshd_config
...
LogLevel:

Gives the verbosity level that is used when logging messages from sshd.  
The possible values are: QUIET, FATAL, ERROR, INFO, VER-BOSE, DEBUG, DEBUG1, 
DEBUG2 and DEBUG3. The default is INFO. DEBUG and DEBUG1 are equivalent. DEBUG2 
and DEBUG3 each specify higher levels of debugging output. Logging with a DEBUG 
level violates the privacy of users and is not recommended.

Answer

根据 RHEL 论坛中的解决方案，标题为：如何将 SSH 配置为调试模式？

方法#1 - 在另一个端口上使用 sshd

$ /usr/sbin/sshd -ddd -D -p (port) 2>&1

然后连接到它：

$ ssh -p (port)

方法#2 - 更改 sshd 的配置文件

$ vim /etc/ssh/sshd_config

然后更改日志级别：

LogLevel DEBUG3

然后重新启动sshd。

$ service sshd restart

sshd_config 手册页

$ man sshd_config
...
LogLevel:

Gives the verbosity level that is used when logging messages from sshd.  
The possible values are: QUIET, FATAL, ERROR, INFO, VER-BOSE, DEBUG, DEBUG1, 
DEBUG2 and DEBUG3. The default is INFO. DEBUG and DEBUG1 are equivalent. DEBUG2 
and DEBUG3 each specify higher levels of debugging output. Logging with a DEBUG 
level violates the privacy of users and is not recommended.

Question 2

最好的解决方案是启用 TTY 日志记录，以便它显示在审核日志中

echo "session     required      pam_tty_audit.so enable=*" >> /etc/pam.d/password-auth-ac
echo "session     required      pam_tty_audit.so enable=*" >> /etc/pam.d/system-auth-ac

然后，要查看日志，您可以使用：

aureport --tty

Answer

最好的解决方案是启用 TTY 日志记录，以便它显示在审核日志中

echo "session     required      pam_tty_audit.so enable=*" >> /etc/pam.d/password-auth-ac
echo "session     required      pam_tty_audit.so enable=*" >> /etc/pam.d/system-auth-ac

然后，要查看日志，您可以使用：

aureport --tty

如何监控 SSH 会话中发生的情况？

答案1

方法#1 - 在另一个端口上使用 sshd

方法#2 - 更改 sshd 的配置文件

答案2

相关内容