我们在服务器上使用共享帐户。每个帐户使用不同的 ssh 密钥。有没有办法创建谁运行了哪些命令的审计跟踪?我们可以通过使用的 ssh 密钥区分真正的“用户”。
答案1
我没有看到在一个地方完成此操作的方法,但如果您愿意仔细查看日志,您可以让 SSHD 在有人登录时记录密钥指纹:
然后记录命令:
请注意,评论中有一条关于如何在 ubuntu 上运行它的说明。
然后,您可以通过 ausearch 将系统日志中找到的会话 ID 连接到命令日志:
http://linux.die.net/man/8/ausearch
最后,如果您可以分离帐户(并根据组管理权限?),这可能会简化事情。