Есть ли способ прослушивать порт 22 на моем сервере, чтобы узнать, отправлял ли кто-нибудь какие-либо команды во время ssh на мой сервер? Или, скорее, вывести, какие команды были отправлены (и IP-адрес подключившегося), почти как «живой» журнал?
В auth.log файл должен иметь историю входов в систему по SSH (по умолчанию включено).
Если вы используете SSH на порту 22, у вас должны быть крайние требования к паролю или использовать ключи SSH и отключить аутентификацию по паролю.
strace -o trace -f -p PID_OF_SSH # will give lots of output and very low level
Вряд ли. Если у вас есть ssh, работающий на порту 22 (как это задумано), то сообщения шифруются.
ш или ВОЗ или последний позволит вам увидеть, кто подключен.
Если они записывают свои команды в историю, вы можете проверить их файлы истории.
Кроме того, это должно быть Суперпользователь.
Вы можете использовать учет процессов, чтобы вести подробный журнал команд, выполняемых на вашем сервере.
В Debian:
apt-get install acct
Затем используйте lastcomm чтобы узнать, кто что запускал и в какое время. lastcomm --help перечисляет несколько способов получения информации, включая фильтрацию по пользователю, команде или tty.
Ты можешь использовать last чтобы выяснить, какой виртуальный терминал (например, pts / 9) был назначен интересующему вас сеансу ssh. Затем, продолжая пример, запустите:
lastcomm pts/9
Включите регистрацию вашего демона SSH.
LogLevel
Gives the verbosity level that is used when logging messages from
sshd. The possible values are: QUIET, FATAL, ERROR, INFO, VER-
BOSE, DEBUG, DEBUG1, DEBUG2 and DEBUG3. The default is INFO.
DEBUG and DEBUG1 are equivalent. DEBUG2 and DEBUG3 each specify
higher levels of debugging output. Logging with a DEBUG level
violates the privacy of users and is not recommended.