在 Linux 上记录 SSH 命令 - 自定义内核是唯一的方法吗?

在 Linux 上记录 SSH 命令 - 自定义内核是唯一的方法吗?

我做了一些研究,看起来 linux 保存历史的方式不是关于安全和审计,而是更多关于帮助用户。

即使进行更改以立即记录命令和空格命令后,命令仍然不会记录,直到完成。

除了为 Linux 内核编写一个模块来立即记录输入的任何内容之外,还有什么方法可以改进审计日志记录吗?

答案1

shell 命令历史记录不是一个审计工具,尽管被误导的人可能会尝试这样使用它。

审计子系统另一方面,可以设置为记录每个exec()系统调用及其参数和/或任何文件访问。

你可以安装sudosh2并将其用作用户的登录 shell。它会记录一切这发生在会话中,包括命令及其输出。

相关内容