由于某种原因,如果有人 ssh 进入我的帐户并从我的用户帐户运行一些命令,我将看不到命令历史记录日志。如果我在终端中运行历史命令,我只会看到我自己运行过的命令。但不是那些通过 ssh 进入我帐户的人。
有没有办法查看 ssh 进入我帐户的人正在做什么?他从我的帐户运行什么命令?
答案1
有没有办法查看 ssh 进入我帐户的人正在做什么?他从我的帐户运行什么命令?
您可以使用sysdig来监视 ssh 会话活动:
sudo sysdig -A -c echo_fds proc.name=sshd
可以将sysdig事件写入转储文件,例如:
sudo sysdig -C 1 -w dump.scap
可以对其进行审查和过滤以检查用户活动:
sudo sysdig -r dump.scap0 -c spy_users