Как зарегистрировать все вещи, которые произошли через сессию SSH?
После затяжной кампании погуглить, оказывается, что я должен был использовать lpd протокол, и я должен был указать программу сервера печати на принтере: binary_p1.
Connection: lpd://192.168.1.5/binary_p1
Хотя не действительно индикатор, что я должен был использовать lpd протокол после чтения файлов журнала на моей машине, было похоже, что это пыталось распечатать через USB, и потому что это не могло найти, что принтер включил USB-порт, задания печати просто находились в очереди.
В AIX это используется для оболочки по умолчанию ksh , файлы создаются в домашнем каталоге каждого пользователя с именем .sh_history
Мне всегда нравилось добавление переменной оболочки EXTENDED_HISTORY = ON (например, экспортируйте ее в / etc / profile )
Теперь вы можете просматривать историю с помощью history -t или fc -t .
Имейте в виду, что файл истории создается только в том случае, если запущена интерактивная оболочка, поэтому я не совсем уверен, что здесь регистрируются команды из сценариев.
Если вам действительно нужно это ведение журнала и многое другое, я бы посоветовал ознакомиться с красной книгой IBM Auditing and Accounting или воспользоваться такими инструментами, как tripwire .
Команда sudo поставляется с возможностью аудита и последующего воспроизведения сеансов.Хотя большинство людей используют sudo для выполнения команд от имени root , вы можете определить простое правило, которое позволяет пользователям использовать только sudo для себя (например, ничего, что они не могли бы уже сделали!)
Используя sudosh в качестве оболочки входа пользователя, вы можете обеспечить, чтобы все регистрировалось ( stdin , stdout , stderr и т. Д.). Он применяется как к интерактивным, так и к неинтерактивным оболочкам и регистрирует абсолютно все - даже то, что происходит внутри редактора, такого как vim .
Затем с помощью команды sudoreplay можно просмотреть стенограммы сеанса. Он даже будет воспроизводить журналы, в которых пользователь ввел интерактивную программу, например vim .
Включить журналы аудита сеансов sudo очень просто.
Добавьте это в /etc/sudoers.d/sudosh
Defaults log_output
Defaults!/usr/bin/sudoreplay !log_output
Defaults!/sbin/reboot !log_output
Чтобы разрешить пользователям sudo для себя, добавьте такую строку в файл типа / etc / sudoers .d / sudosh.osterman :
osterman ALL=(osterman) ALL
Затем, чтобы принудительно регистрировать сеанс пользователя (например, osterman ), запустите:
chsh -s /usr/bin/sudosh osterman
Загрузите sudosh здесь . Предполагается, что вы уже установили sudo .
PaSSHport решает эту проблему. Это открытый исходный код, и он размещается поверх OpenSSH для управления доступом по ssh.
Когда пользователь подключается (или запускает команду напрямую, как в «ssh root@server commandhere» ), он либо запускает команду сценария, либо регистрирует команду. Таким образом, впоследствии «суперадмин» может проверить журналы и проверить каждую команду... и их результаты, если они выполняются через скрипт.
Программное обеспечение довольно новое, но уже используется в огромной среде.