어떤 이유로 누군가가 내 계정에 SSH로 접속하여 내 사용자 계정에서 일부 명령을 실행하면 명령 기록 로그가 표시되지 않습니다. 터미널에서 기록 명령을 실행하면 내가 실행한 명령만 표시됩니다. 하지만 내 계정에 SSH로 접속하는 사람은 아닙니다.
누군가가 내 계정에 SSH를 통해 무엇을 하고 있는지 확인할 수 있는 방법이 있나요? 그 사람이 내 계정에서 어떤 명령을 실행하고 있나요?
답변1
누군가가 내 계정에 SSH를 통해 무엇을 하고 있는지 확인할 수 있는 방법이 있나요? 그 사람이 내 계정에서 어떤 명령을 실행하고 있나요?
sysdig다음을 사용하여 SSH 세션 활동을 모니터링 할 수 있습니다 .
sudo sysdig -A -c echo_fds proc.name=sshd
sysdig이벤트는 덤프 파일에 기록될 수 있습니다. 예를 들면 다음과 같습니다.
sudo sysdig -C 1 -w dump.scap
사용자 활동을 확인하기 위해 검토 및 필터링할 수 있습니다.
sudo sysdig -r dump.scap0 -c spy_users