私のSSHセッションで何が起こっているのか、どのように監視できますか?

私のSSHセッションで何が起こっているのか、どのように監視できますか?

SFTPでスキャンできるネットワークデバイス(スキャナ)があります。残念ながら、それは私に問題を引き起こしました。 SSHログからログインできることがわかりますが、それ以降は何をしているのかわかりません。ファイルやディレクトリが見つからない状況が発生したようです。デバイスには詳細なロギング機能はありません。だから何とかサーバーでこれを行う必要があります。

SSH接続が確立された後に何が起こるかをどのように監視/記録できますか?

答え1

RHELフォーラムのソリューションによると、SSHをデバッグモードに設定するにはどうすればよいですか?

方法#1 - 別のポートでsshdを使用する

$ /usr/sbin/sshd -ddd -D -p (port) 2>&1

次に接続します。

$ ssh -p (port)

方法#2 - sshdの構成ファイルの変更

$ vim /etc/ssh/sshd_config

次にログレベルを変更します。

LogLevel DEBUG3

その後、再起動してくださいsshd

$ service sshd restart

sshd_config のマニュアルページ

$ man sshd_config
...
LogLevel:

Gives the verbosity level that is used when logging messages from sshd.  
The possible values are: QUIET, FATAL, ERROR, INFO, VER-BOSE, DEBUG, DEBUG1, 
DEBUG2 and DEBUG3. The default is INFO. DEBUG and DEBUG1 are equivalent. DEBUG2 
and DEBUG3 each specify higher levels of debugging output. Logging with a DEBUG 
level violates the privacy of users and is not recommended.

答え2

最善の解決策は、監査ログに表示されるようにTTYロギングを有効にすることです。

echo "session     required      pam_tty_audit.so enable=*" >> /etc/pam.d/password-auth-ac
echo "session     required      pam_tty_audit.so enable=*" >> /etc/pam.d/system-auth-ac

その後、次のようにログを表示できます。

aureport --tty

関連情報