auditd를 사용하여 사용자가 실행한 ssh 명령을 즉시 캡처할 수 있는 방법이 있습니까?
그림은 사용자가 명령을 보내고 auditd가 명령이 실행될 때 이를 캡처하는 상황을 보여줍니다. 이 시점에서 스크립트는 명령이 허용되는지 또는 차단되어야 하는지 결정할 수 있습니다.
/etc/pam.d/sshd추가하려고 편집을 해봤는데
session required pam_tty_audit.so enable=*
여기서 문제는 auditd가 명령을 캡처하여 기록한 다음 큰 지연이 발생하거나 사용자가 로그아웃한 후에 발생한다는 것입니다.
나는 auditd 규칙을 사용하면 이것이 가능하다고 믿지만, 어떻게 해야 할지 모르겠습니다. 나는 다른 방법과 다른 패키지(데비안에서는 표준이 바람직함)를 받아들입니다.
편집하다:strace를 사용하여 ssh 프로세스 pid를 식별하고 stdin을 수신하여 명령을 캡처할 수 있지만 각각의 새 연결에는 다른 pid가 있기 때문에 이를 자동화하는 방법을 모르겠습니다.