Làm thế nào để ghi lại tất cả những người đăng nhập vào máy linux của tôi và ghi lại chúng


1

Tôi đã cài đặt gói kiểm toán trên máy linux 6. mũ đỏ của tôi để xem bản ghi của mỗi người dùng đăng nhập vào máy linux của tôi

yum install audit

cài đặt bộ công cụ từ: https://access.redhat.com/documentation/en-US/Red_Hat_ Entryprise_Linux / 6

sau khi cài đặt và khởi động lại dịch vụ kiểm toán như

service auditd start

Tôi theo dõi tệp audir.log để xem hồ sơ người dùng

tail -f /var/log/audit/audit.log 

nhưng từ nhật ký này tôi chỉ thấy IP của người dùng và khi anh ta đăng nhập vào máy linux của tôi

các bản ghi của lệnh linux mà người dùng đã hoàn thành không phải là apperars trong aud.log

Có thể một số lời khuyên tại sao chúng ta không thấy lịch sử của lệnh linux trong aud.log ?

ví dụ về kiểm toán.log

type=USER_START msg=audit(1422876162.936:152): user pid=28114 uid=0 auid=0 ses=74236 msg='op=PAM:session_open acct="root" exe="/usr/sbin/sshd" hostname=10.1.113.35        addr=10.1.113.35 terminal=ssh res=s'
type=USER_LOGIN msg=audit(1422876162.940:153): user pid=28116 uid=0 auid=0            ses=74236 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=10.1.113.35            addr=10.1.113.35     terminal=/dev/pts/1 res=success'
type=USER_START msg=audit(1422876162.940:154): user pid=28116 uid=0 auid=0 ses=74236 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=10.1.113.35 addr=10.1.113.35 terminal=/dev/pts/1 res=success'
type=CRYPTO_KEY_USER msg=audit(1422876162.940:155): user pid=28116 uid=0 auid=0 ses=74236 msg='op=destroy kind=server fp=99:c8:56:79:64:17:0b:67:b5:6c:e9:36:22:8a:b1:88 direction=? spid=28116 suid=0 '
type=CRYPTO_KEY_USER msg=audit(1422876162.940:156): user pid=28116 uid=0 auid=0 ses=74236 msg='op=destroy kind=server fp=6f:b9:bf:4f:84:1f:58:e5:d2:1c:94:1f:11:8e:26:61 direction=? spid=28116 suid=0 '
type=CRED_REFR msg=audit(1422876162.940:157): user pid=28116 uid=0 auid=0 ses=74236 msg='op=PAM:setcred acct="root" exe="/usr/sbin/sshd" hostname=10.1.113.35 addr=10.1.113.35 terminal=ssh res=success'
  • nhận xét trong trường hợp công cụ này Kiểm toán không thể thực hiện các bản ghi của từng người dùng, vui lòng giúp tôi tìm công cụ khác có thể thực hiện Công việc

Liên kết này chỉ cho bạn cách chạy tập lệnh khi đăng xuất. Bạn có thể sử dụng điều này để ghi lại tệp lịch sử lệnh, mặc dù đó có thể không phải là một giải pháp hoàn chỉnh. Lý tưởng nhất là bạn muốn có một shell được sửa đổi, nhưng vì người dùng có thể gọi các shell khác, bạn sẽ cần sửa đổi cho tất cả các shell trên hệ thống.
AFH

Tôi đã kiểm tra hệ vỏ Linux và tìm thấy bản tóm tắt hữu ích này .
AFH
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.