Получить журнал действий / команд?
Веб-сайт управления сервером берет на себя управление сервером. Так, например, я нажимаю кнопку сохранения, которая затем обновляет конфигурацию на сервере Linux. Он вошел на сервер, а затем обновил файл конфигурации.
Пример журнала аутентификации:
Aug 13 20:07:19 ladev sshd[14141]: pam_unix(sshd:session): session opened for user root by (uid=0)
Aug 13 20:07:19 ladev systemd: pam_unix(systemd-user:session): session opened for user root by (uid=0)
Aug 13 20:07:19 ladev systemd-logind[1426]: New session 235 of user root.
Aug 13 20:07:19 ladev sshd[14141]: Received disconnect from 10x.236.2xx.xxx port 50291:11: disconnected by user
Aug 13 20:07:19 ladev sshd[14141]: Disconnected from 10x.236.2xx.xxx port 50291
Aug 13 20:07:19 ladev sshd[14141]: pam_unix(sshd:session): session closed for user root
Aug 13 20:07:19 ladev systemd-logind[1426]: Removed session 235.
Aug 13 20:07:20 ladev sshd[14186]: Accepted publickey for root from 10x.236.2xx.xxx port 50292 ssh2: RSA SHA256:xxxxxxxxxxxxxxxxxxxxx
Как узнать, что он делал для обновления файла и какую команду он использовал?
Также есть способ узнать, какой SSH-клиент он использовал?
Он недоступен в командах bash_history и history
Изменить: веб-сайт управления сервером, которым я не владею, находится не на том же сервере.
Прошу прощения, если я что-то неправильно понял, но ваш вопрос трудно читать.
Если у вас нет настроек аудита, вы не сможете записать нужную информацию. То же самое и с регистрацией из sshd - вам нужно убедиться, что sshd регистрирует информацию до того, как что-то произойдет, а не после.
Найдите в serverfault информацию о настройке auditd. Вам понадобится это, чтобы увидеть, какие команды выполняются.
https://serverfault.com/search?q=auditd
И прочтите страницу руководства для OpenSSH, чтобы изменить ведение журнала / отладку sshd. Вам понадобится это, чтобы получить как можно больше информации о ssh-соединениях.
$ man sshd_config