Существует ли какая-либо утилита, которая будет контролировать все команды на SSH SHELL, запускаемые любым пользователем, который входит в систему с помощью putty или любого другого клиента? Если эта запись где-то сохранена, это очень поможет.
1 ответ
Linux поставляется с мощными инструментами для аудита действий пользователя.
SuSE имеет превосходный обзор того, как их использовать, который должен работать для любого дистрибутива, который поставляет необходимые инструменты и компоненты ядра. Чтобы отслеживать, какие программы запущены пользователями, вам нужно отслеживать системный вызов exec()
. Вы также можете отслеживать, какие файлы редактируются, и другие системные вызовы, такие как изменение разрешений или открытие сокетов.
Это работает на довольно низком уровне в системе, хотя. Другой альтернативой является регистрация всего сеанса SSH каждого пользователя. Если оба эти варианта слишком тяжелы для вас, предложение slhck подойдет, но это легко обойти. Ни одно из моих предложений не является безошибочным.