何らかの理由で、誰かが自分のアカウントにSSHでアクセスして自分のユーザーアカウントからいくつかのコマンドを実行した場合、コマンド履歴ログは表示されません。端末で履歴コマンドを実行すると、私が実行したコマンドのみが表示されます。しかし、私のアカウントにSSHでアクセスする人ではありません。
誰かが自分のアカウントにSSHを介して何をしているかを確認する方法はありますか?その人は私のアカウントでどのようなコマンドを実行していますか?
ベストアンサー1
誰かが自分のアカウントにSSHを介して何をしているかを確認する方法はありますか?その人は私のアカウントでどのようなコマンドを実行していますか?
sysdig以下を使用してSSHセッションアクティビティを監視できます。
sudo sysdig -A -c echo_fds proc.name=sshd
sysdigイベントはダンプファイルに書き込むことができます。たとえば、次のようになります。
sudo sysdig -C 1 -w dump.scap
ユーザーの活動を確認するために確認およびフィルタリングできます。
sudo sysdig -r dump.scap0 -c spy_users