接続方法(コンソール、シェル、SSHなど)に関係なく、すべてのユーザーアクティビティを追跡する方法をお探しですか?
現在、auditdを使用して特権アクセスを追跡し、.bash_historyを使用してユーザーを追跡していますが、.bash_historyはユーザーが編集できます。
すべてのユーザーアクティビティを監査/追跡するためのシステムレベルのプログラム/アプリケーション/デーモンはありますか?
ベストアンサー1
集計ツールよりも良い選択はないと思いますauditdが、何が起こっているのかについて十分な知識がない可能性があります。 .bash_historyはユーザー中心であり、名前が示すようにbash機能です。ユーザーは他のシェルを使用できます。
別のアプローチは、ほとんどのツール(pam、sshd、* dm、sudoなど)のロギングを増やし、集中的に設定し、セキュリティ情報とイベント監視(SIEM)ソリューションを使用することです。