有什么方法可以使用auditd 即时捕获用户执行的ssh 命令吗?
该图举例说明了用户发送命令并auditd 在执行时捕获该命令的情况。此时脚本可以决定是否允许该命令或需要阻止该命令
我尝试编辑/etc/pam.d/sshd添加
session required pam_tty_audit.so enable=*
这里的问题是auditd捕获命令并记录然后有很大的延迟或在用户注销之后。
我相信如果我使用auditd规则这是可能的,但我不知道如何。我接受其他方法和其他软件包(最好是 Debian 上的标准)
编辑:我可以通过识别 ssh 进程 pid 并监听 stdin 来使用 strace 捕获命令,但我不知道如何自动执行此操作,因为每个新连接都会有不同的 pid。