質問: Linux または AIX システムで SSH で発生した状況をどのように記録しますか?たとえば、ユーザーがログインしたり、いくつかのコマンドを実行したり、自動化されたツールがsshを介して操作を実行したり、誰かが「ssh root@server commandhere」コマンドを実行したりします。
ベストアンサー1
このsudo
コマンドには、セッションを監査して再生する機能があります。ほとんどの人はsudo
コマンドを実行することに慣れていますが、ユーザーだけがroot
コマンドを実行できるようにする単純なルールを定義できますsudo
(つまり、ユーザーができないことはありません!)。
使用してsudosh
ユーザーのログインシェルを使用すると、すべてのコンテンツ(など)を強制的に記録stdin
できstdout
ますstderr
。対話型と非対話型の両方のシェルで動作しますvim
。
sudoreplay
その後、このコマンドを使用してセッション履歴を表示できます。でも対話型プログラム(例:vim
。
セッション監査ロギングを有効にするのはsudo
簡単です。
に追加/etc/sudoers.d/sudosh
Defaults log_output
Defaults!/usr/bin/sudoreplay !log_output
Defaults!/sbin/reboot !log_output
ユーザーが自分で実行できるようにするには、次sudo
の行をファイルに追加します/etc/sudoers.d/sudosh.osterman
。
osterman ALL=(osterman) ALL
osterman
次に、ユーザーセッションを強制的に記録するには(たとえば)、次を実行します。
chsh -s /usr/bin/sudosh osterman
ダウンロードsudosh
ここ。すでにインストールされているとしますsudo
。