Kim SSH'lerin linux makineme girdiğini nasıl izleyebilirim?

23

Ubuntu 10.04 kullanıyorum. Kutuya kimin giriş yaptığını, saat kaçını ve hatta ne zaman - bu çok fazla soruyor olabilir - kullandıkları komutların bir raporunu günlük olarak alabileceğim bir yol var mı? Bu düşük kullanımlı bir kutu ve bu yüzden bunun üzerinde hangi aktivitenin olduğunu görmek için iyi bir yol olacağını düşünüyorum.

Aynı satırlar boyunca rsync gibi etkileşimli olmayan mermilerle kutu üzerinde işlerin ne zaman yapıldığını ya da ssh ile uzaktan tek komutları uzaktan yürütmenin mümkün olmadığını duydum. Bu doğru mu, yoksa bunu kaydetmenin ve izlemenin bir yolu var mı?

ssh  security  logs 
cwd
kaynak

Yanıtlar:

21

Kimin ne zaman giriş yaptığını bilgisi /var/log/auth.log(veya diğer dağıtımlardaki diğer günlük dosyalarında). Konuyla ilgili olarak yapılandırdığınız bilgileri alabilen çok sayıda log izleme programı vardır. Herhangi bir akıllıca sistemde, her kullanıcı kimlik doğrulaması kaydedilir.

Her komut çağrısını (ancak argümanlarını değil) günlüğe kaydetmek için, Ubuntu'da paket tarafından sağlanan süreç muhasebesini kullanın . Muhasebe alt sistemi çalışıyor ve çalışıyorsa, tamamlanmış işlemler hakkında bilgi gösterir.acct Acct yükleyinlastcomm

Gilles 'SO- şeytan olmayı'
kaynak
3
/var/log/secure.log başka bir ortak log dosyasıdır
Adrian Cornish
9

Ayrıca , SSH kullanıcıları dahil olmak üzere, sisteme giriş yapmış olanları görmek whoveya kullanmak wiçin kullanabilirsiniz .

Tim
kaynak
10
lastOP'nin aradığı şey için daha iyi bir seçenek olabilir ...
jasonwryan
1
aslında. "last" istediğiniz komuttur.
Sirex
1
Bu, seçilen cevaptan çok daha iyi bir cevaptır.
PaulBGD
0

Genellikle bazıları kullanıcı sistemine giriş yaptıktan sonra / var / log / messages olarak yazdırılır:

sshd[18468]: Accepted keyboard-interactive/pam for root from 134.64.66.666 port 49867 ssh2

Bu yüzden, mesajları yalnızca şöyle sıralayın:

grep -E "Accepted keyboard-interactive/pam for" /var/log/messages
RKum
kaynak
0

Bazı rsylog yapmak için bash kabuğunu da değiştirebilirsiniz.

Etkili bir şekilde, belirli bağlantıları kabul etmek için uzak bir ana bilgisayara rsyslog kurarsınız. Ardından, izlemek istediğiniz ana bilgisayar kabuğunu değiştirin - sürümünüzü aşağıdakileri etkinleştirecek şekilde derleyerek:

vi config-top.h
#define SYSLOG_HISTORY
#if defined (SYSLOG_HISTORY)
#  define SYSLOG_FACILITY LOG_USER
#  define SYSLOG_LEVEL LOG_INFO
#endif

Bu etkinle derlendikten sonra, bash'ı bu sürümle değiştirebilirsiniz VEYA kullanıcıların girişlerini yeniden yönlendirerek bu siteye giriş yapmış olmalarını sağlayabilirsiniz.

Daha fazla bilgi için:

https://www.pacificsimplicity.ca/blog/remote-logging-using-syslog-and-logging-shell-commands-remotely

mcdoomington
kaynak
İnce. Güncelleyeceğim.
mcdoomington
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.