कुछ शब्दों में
दोनों मशीनों पर ssh के लॉग का उपयोग करें: यह आपको शेल की PID देता है। यह आपको कार्यक्रम के निष्पादन के साथ शेल के पीआईडी को जोड़ने और ट्टी के साथ एक निश्चित मैच करने की अनुमति देनी चाहिए। एक गहन ऑडिट के लिए आप एक ऑडिट टूल का उपयोग कर सकते हैं।
अधिक शब्दों में
last
सरल के साथ last
आपके पास उपयोग किए गए ट्टी से संबंधित कनेक्शनों की सूची हो सकती है।
आपके पास अपने प्रॉक्सी मशीन से दो सूची एक हो सकती हैं (मैं इसे गेटवे, जीडब्ल्यू) कहना चाहूंगा, और दूसरा आपके सर्वर से । last
डिफ़ॉल्ट रूप से कमांड आपको उपयोगकर्ता नाम, pts / tty, IP / hostname देता है। लॉग-इन डेट-टाइम, लॉग-आउट डेट-टाइम। आप प्रारूप आदि में संशोधन कर सकते हैं।
फिर आपको अवधि की ओवरले पर काम करना होगा और अनुमान लगाना होगा कि कौन था।
मुझे जो समस्या दिखाई देती है, वह यह है कि इस तरह से आपको एक टूल (स्क्रिप्ट) बनानी होगी, जो आपको सभी संभावित मैच प्रदान करे, और उन्हें शुद्ध करें, इस बीच आप अच्छे मैच पाते हैं। बहरहाल, आपके पास अजीब स्थिति हो सकती है।
केस स्टडी करते हैं। एक पहला उपयोगकर्ता, हम निकोलस कहते हैं, GW पर लॉग इन कर सकते हैं। फिर वह कॉफ़ी लेने जाता है या कॉल का जवाब देता है। इस बीच एक दूसरा उपयोगकर्ता, हम हस्तूर कहते हैं, GW में लॉग-इन करें और तेज़ी से 1 सेंट उपयोगकर्ता सर्वर पर लॉग इन करें। बस इस क्षण में आपका डबल लॉग जटिल है। अब हस्तूर को एक कॉफी की जरूरत महसूस हुई और निकोलस ने सर्वर से लॉग इन किया। कौन पहले व्यक्ति होगा जो कॉफी खत्म करेगा और जो पहले कार्यक्रम के साथ जुड़ेगा?
/var/log/auth
(या ssh की अन्य लॉग फ़ाइल) [ 1 ] ।।
प्रत्येक सिस्टम पर लॉगिन और लॉगआउट की निगरानी के लिए लॉग फाइल का उपयोग किया जाता है। सही पथ और नाम के लिए खोज, उन ca प्रणाली के आधार पर। साथ में
sudo grep TheUsername /var/log/auth.log
आप के समान लाइनें प्राप्त करेंगे
May 1 16:17:43 owl sshd[9024]: Accepted publickey for root from 192.168.0.101 port 37384 ssh2
May 1 16:17:43 owl sshd[9024]: pam_unix(sshd:session): session opened for user root by (uid=0)
जहां आपके पास सही लॉगिन समय है, और यहां तक कि पीआईडी ( [9024]
), और आईपी। इस बार आप इस फ़ाइल के डेटा last
को tty जानने के लिए कमांड के एक के साथ मेल कर सकते हैं, या आप किसी तरह प्रोग्राम के अंदर लॉग इन कर सकते हैं शेल के PID जो प्रोग्राम को ही कहते हैं (यह सिस्टम कॉल के साथ करना संभव है) खोल)।
उन फ़ाइलों पर काम करना आपके पास प्रत्येक सत्र के लिए एक अनूठा मेल हो सकता है। गेटवे पर अनुरूप लॉग फ़ाइल के लिए आपके पास मूल आईपी और उपयोगकर्ता नाम होगा।
audit tools
[ २ ], [ ३ ]
यदि आपके पास करने के लिए प्राधिकरण है और यह कानूनी है, तो आप ऑडिट टूल का उपयोग कर सकते हैं और होस्ट मशीन पर शेल का पूर्ण लॉग कर सकते हैं।
संदर्भ
- [ १ ] एसएसएच पहुंच प्रयासों में प्रवेश करना
- [ २ ] शेल / ssh / tty सत्र लकड़हारा
- [ ३ ] रिमोट होस्ट पर BASH शेल सत्र लॉगिंग