Как я могу настроить rsyslog
регистрировать команды, введенные в сеансе ssh?
На всякий случай, если кто-то посторонний получит доступ к системе, я хотел бы знать, что он сделал.
Мне кажется, что вы хотите проверить, что делает пользователь после входа на ваш сервер. На самом деле это больше функция оболочки, которую запускает ваш пользователь (например, bash).
Проверять, выписываться https://askubuntu.com/questions/93566/how-to-log-all-bash-commands-by-all-users-on-a-server
Вероятно, вы можете использовать то же самое для любого пользователя, который входит в систему удаленно.
В настоящее время для этого не так много доступных вариантов.
Некоторые из моих коллег в Национальная лаборатория Лоуренса Беркли (LBNL) выпустили серию патчей для OpenSSH как часть своих аудит-sshd проект. Код открыт и доступен по лицензии «BSD Simplified». auditing-sshd
регистрирует все нажатия клавиш, введенные пользователем, а также массу другой метаинформации о транзакции SSH. Данные отправляются с помощью syslog / stunnel в центральную IDS. Некоторые инструменты аудита на основе оболочки можно обойти из командной строки. Поскольку код встроен в OpenSSH, злоумышленник не может обойти инструмент при использовании SSH.
См. Документ и слайды LISA 2011. Эти патчи предназначены для проведения аудита пользовательских сессий в академических и открытых исследовательских средах, где аудит обязательный как часть политики безопасности сайта и политики конфиденциальности хорошо понятны пользователям.
Тем не менее, бинарные пакеты недоступны, и программное обеспечение предназначено для администраторов, которые могут применять исправления в исходном коде OpenSSH и создавать свои собственные пакеты.
Примечание: Я участвую в этом проекте. Я работаю в LBNL, лично знаю авторов и регулярно использую эту программу.