我正在寻找一种方法来记录和审核服务器上用户的 SSH 会话。我需要能够知道用户何时执行了命令、执行了什么命令,并且还能够通过登录其他帐户来跟踪他们(如果用户要运行sudo -Hiu otheruser
,otheruser
则仍应从主用户的日志中跟踪会话,因为他们没有直接登录)。
script
这似乎不是一个解决方案,因为日志是从用户帐户记录的,这使其容易受到篡改/破坏,并且它也没有命令的时间戳。
是否有适用于此类用例的常用工具/开源套件?
答案1
这个问题似乎已经被问过很多次了,并且得到过很多次回答: Stack Exchange 来帮忙
第二个答案似乎特别提供了一个潜在的解决方案,使用 SSHd 本身内置的功能,如此处所述SSH 记录但无法抵挡任何打败它的坚决努力。
该技术与logger命令结合可能会满足您的要求。
答案2
RHEL 8 具有集成会话记录使用该tlog
软件包。对于其他发行版,您可能可以自行安装。