私はrootとしてサーバーにログインしてタスクを実行しました。w
これにより、ユーザーがファイルを編集していることがわかりました。
someuser pts/5 10.117.0.53 14:03 3:25 1.20s 1.14s vi somefile.py
その後、接続を切断し、後でルートに再接続しました。もう一度やってみましたが、w
今回は何か別の姿を見せてくれましたね。
someuser pts/5 10.117.0.53 14:03 5:20 0.20s 0.02s sshd: someuser [priv]
他のフィールドでは、このユーザーが同じユーザーであることがわかりますが、今回は何をするのかは隠されています。
なぜ隠されたのですか?彼らが何をしているのか、どうすればわかりますか?
ベストアンサー1
ユーザーがを使用している場合は、bash
以下を追加できます/etc/bash.bashrc
。
readonly PROMPT_COMMAND='history -a >(logger -t "commandlog $USER[$PWD] $SSH_CONNECTION")'
これにより、すべてのユーザーコマンドがシステムログに書き込まれます。
ロックされた中央のsyslogサーバーにログを転送するように設定しますsyslog
。これにより、ハッカー攻撃や悪意のあるsysadminが発生しても証拠を操作できなくなります。