我正在寻找一种方法来跟踪所有用户活动,无论他们如何连接(例如控制台、shell、ssh 等)?
我目前正在使用auditd 来跟踪特权访问,并使用.bash_history 来跟踪用户,但.bash_history 是用户可编辑的...
是否有系统级程序/应用程序/守护进程来审核/跟踪所有用户活动?
答案1
我认为没有比auditd
作为聚合工具更好的选择了,但您可能对正在发生的事情没有足够的了解。 .bash_history 是用户驱动的,顾名思义,它是一个 bash 功能——用户可以使用另一个 shell。
另一种方法是增加大多数工具(pam、sshd、*dm、sudo 等)的日志记录,集中整理它们并使用安全信息和事件监控 (SIEM) 解决方案。