26 Aug
2019
26 Aug
'19
12:15 p.m.
Hi,
Was ich sehen will:
- Interaktive Anmeldungen
Linux Audit Framework, incl. PAM-Modul pam_tty_audit
- Befehle, die zB so aufgerufen werden "ssh remote-server my-command"
aureport --tty
- scp-Befehle. Mit Pfad wäre schön. Ggf reicht auch, die Info, dass scp aufgerufen wurde.
Ebenso.
Ich sehe zwei Wege:
ForceCommand http://man.openbsd.org/OpenBSD-current/man5/sshd_config.5#ForceCommand
oder auditd.
Letzteres ist zu empfehlen für den Usecase mehrerer Server. Das kannst du dann zentral auf einem besonders gesichertem Host und bei Bedarf auch live sammeln.
Gruß, Andreas