审计谁通过共享账户的 ssh 运行了什么命令

审计谁通过共享账户的 ssh 运行了什么命令

我们在服务器上使用共享帐户。每个帐户使用不同的 ssh 密钥。有没有办法创建谁运行了哪些命令的审计跟踪?我们可以通过使用的 ssh 密钥区分真正的“用户”。

答案1

我没有看到在一个地方完成此操作的方法,但如果您愿意仔细查看日志,您可以让 SSHD 在有人登录时记录密钥指纹:

https://unix.stackexchange.com/questions/15575/can-i-find-out-which-ssh-key-was-used-to-access-an-account

然后记录命令:

如何记录用户执行的每个命令?

请注意,评论中有一条关于如何在 ubuntu 上运行它的说明。

然后,您可以通过 ausearch 将系统日志中找到的会话 ID 连接到命令日志:

http://linux.die.net/man/8/ausearch

最后,如果您可以分离帐户(并根据组管理权限?),这可能会简化事情。

相关内容