jak nagrywać wszystkich, którzy logują się na moich komputerach z systemem Linux i nagrywać je

1

Zainstalowałem audyt pakietu na mojej maszynie z systemem Linux Red-Hat 6.x, aby wyświetlić zapisane dane każdego użytkownika, który loguje się na mojej maszynie z systemem Linux

yum install audit

instalacja zestawu z: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sec-installing_the_audit_packages.html

po instalacji i zrestartuj usługę audytu jako

service auditd start

Śledzę plik audir.log, aby zobaczyć rekordy użytkowników

tail -f /var/log/audit/audit.log

ale z tego dziennika widzę tylko adresy IP użytkowników i kiedy loguje się do mojego komputera z systemem Linux

rekordy polecenia linux, które użytkownik wykonał, nie pojawiają się w pliku audit.log

czy ktoś może doradzić, dlaczego nie widzimy historii komendy linux w audit.log ?

przykład audit.log

type=USER_START msg=audit(1422876162.936:152): user pid=28114 uid=0 auid=0 ses=74236 msg='op=PAM:session_open acct="root" exe="/usr/sbin/sshd" hostname=10.1.113.35        addr=10.1.113.35 terminal=ssh res=s'
type=USER_LOGIN msg=audit(1422876162.940:153): user pid=28116 uid=0 auid=0            ses=74236 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=10.1.113.35            addr=10.1.113.35     terminal=/dev/pts/1 res=success'
type=USER_START msg=audit(1422876162.940:154): user pid=28116 uid=0 auid=0 ses=74236 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=10.1.113.35 addr=10.1.113.35 terminal=/dev/pts/1 res=success'
type=CRYPTO_KEY_USER msg=audit(1422876162.940:155): user pid=28116 uid=0 auid=0 ses=74236 msg='op=destroy kind=server fp=99:c8:56:79:64:17:0b:67:b5:6c:e9:36:22:8a:b1:88 direction=? spid=28116 suid=0 '
type=CRYPTO_KEY_USER msg=audit(1422876162.940:156): user pid=28116 uid=0 auid=0 ses=74236 msg='op=destroy kind=server fp=6f:b9:bf:4f:84:1f:58:e5:d2:1c:94:1f:11:8e:26:61 direction=? spid=28116 suid=0 '
type=CRED_REFR msg=audit(1422876162.940:157): user pid=28116 uid=0 auid=0 ses=74236 msg='op=PAM:setcred acct="root" exe="/usr/sbin/sshd" hostname=10.1.113.35 addr=10.1.113.35 terminal=ssh res=success'
  • uwaga w przypadku, gdy narzędzie to nie może wykonać rejestru każdego użytkownika, pomóż mi znaleźć inne narzędzie, które może wykonać zadanie
linux security history auditd maihabunash
źródło
Ten link pokazuje, jak uruchomić skrypt podczas wylogowywania. Możesz użyć tego do zapisania pliku historii poleceń, choć może to nie być kompletne rozwiązanie. Idealnie byłoby mieć zmodyfikowaną powłokę, ale ponieważ użytkownicy mogą wywoływać inne powłoki, potrzebne byłyby modyfikacje wszystkich powłok w systemie.
AFH
Poszukałem inspekcji powłoki Linuxa i znalazłem to przydatne podsumowanie .
AFH