연결 방식(예: 콘솔, 셸, SSH 등)에 관계없이 모든 사용자 활동을 추적할 수 있는 방법을 찾고 있습니까?
현재 auditd를 사용하여 권한 있는 액세스를 추적하고 .bash_history를 사용하여 사용자를 추적하고 있지만 .bash_history는 사용자가 편집할 수 있습니다.
모든 사용자 활동을 감사/추적하기 위한 시스템 수준 프로그램/응용 프로그램/데몬이 있습니까?
답변1
집계 도구보다 더 나은 선택 은 없다고 생각 auditd하지만 무슨 일이 일어나고 있는지에 대한 충분한 지식이 없을 수도 있습니다. .bash_history는 사용자 중심이며 이름에서 알 수 있듯이 bash 기능입니다. 사용자는 다른 쉘을 사용할 수 있습니다.
또 다른 접근 방식은 대부분의 도구(pam, sshd, *dm, sudo 등)에 대한 로깅을 늘리고 중앙에서 구성하며 SIEM(보안 정보 및 이벤트 모니터링) 솔루션을 사용하는 것입니다.