Зарегистрируйте ssh сессии к rsyslog
Какие инструменты и/или методы Вы используете для поддержания этого жизненно важного (и потенциально опасный) конфигурация?
/usr/bin/vim
:)
То, какие гарантии необходимо удостовериться, чтобы неправильно разработанный переписали правило, случайно не вынимает значительные части сайта?
Надлежащая dev/staging среда. Честно, это действительно будет Вашим единственным способом гарантировать, чтобы новые правила не били вещи. Развернитесь там сначала, пробегите свои процедуры тестирования и затем развернитесь к напоминанию.
Мне кажется, что вы хотите проверить, что делает пользователь после того, как он вошел на ваш сервер. На самом деле это больше функция оболочки, которую запускает ваш пользователь (например, bash).
Проверьте https://askubuntu.com/questions/93566/how-to-log-all-bash-commands -by-all-users-on-a-server
Вы, вероятно, можете использовать то же самое для любого пользователя, который входит в систему удаленно.
На данный момент не так много готовых вариантов для этого.
Некоторые из моих коллег из Национальной лаборатории Лоуренса Беркли (LBNL) выпустили серию патчей для OpenSSH в рамках своего проекта auditing-sshd . Код открыт и доступен по лицензии «BSD Simplified». auditing-sshd регистрирует все нажатия клавиш, введенные пользователем, а также тонну другой метаинформации о транзакции SSH. Данные отправляются с помощью syslog / stunnel в центральную IDS. Некоторые инструменты аудита на основе оболочки можно обойти из командной строки. Поскольку код встроен в OpenSSH, злоумышленник не может обойти инструмент при использовании SSH.
См. Документ LISA 2011 и слайды. Эти исправления предназначены для проведения аудита пользовательских сессий в академических и открытых исследовательских средах, где аудит требуется как часть политики безопасности сайта, а политика конфиденциальности хорошо понимается пользователями.
, бинарные пакеты недоступны, и программное обеспечение предназначено для администраторов, которые могут применять исправления в исходном коде OpenSSH и создавать свои собственные пакеты.
Примечание: Я участвую в этом проекте. Я работаю в LBNL, лично знаю авторов и регулярно использую эту программу.
бинарные пакеты недоступны, и программное обеспечение предназначено для администраторов, которые могут применять исправления в исходном коде OpenSSH и создавать свои собственные пакеты.Примечание: Я участвую в этом проекте. Я работаю в LBNL, лично знаю авторов и регулярно использую эту программу.
бинарные пакеты недоступны, и программное обеспечение предназначено для администраторов, которые могут применять исправления к исходному тексту OpenSSH и создавать свои собственные пакеты.Примечание: Я участвую в этом проекте. Я работаю в LBNL, лично знаю авторов и регулярно использую эту программу.