审计 SSH 会话?

审计 SSH 会话?

我正在寻找一种方法来记录和审核服务器上用户的 SSH 会话。我需要能够知道用户何时执行了命令、执行了什么命令,并且还能够通过登录其他帐户来跟踪他们(如果用户要运行sudo -Hiu otheruserotheruser则仍应从主用户的日志中跟踪会话,因为他们没有直接登录)。

script这似乎不是一个解决方案,因为日志是从用户帐户记录的,这使其容易受到篡改/破坏,并且它也没有命令的时间戳。

是否有适用于此类用例的常用工具/开源套件?

答案1

这个问题似乎已经被问过很多次了,并且得到过很多次回答: Stack Exchange 来帮忙

第二个答案似乎特别提供了一个潜在的解决方案,使用 SSHd 本身内置的功能,如此处所述SSH 记录但无法抵挡任何打败它的坚决努力。

该技术与logger命令结合可能会满足您的要求。

答案2

RHEL 8 具有集成会话记录使用该tlog软件包。对于其他发行版,您可能可以自行安装。

相关内容