모든 SSH 명령의 로컬 타임스탬프 로깅?

Question 1

나는 당신의 질문에 매우 관심이 있습니다. 대답을 안 하려고 했는데 푹 빠졌어요.

이것은 expect실제로 키로거입니다.

#!/usr/bin/expect -f

proc log {msg} {
    puts $::fh "[timestamp -format {%Y-%m-%d %H:%M:%S}]: $msg"
}

set ssh_host [lindex $argv 0]
set ::fh [open "sshlog.$ssh_host" a]

log "{session starts}"

spawn ssh $ssh_host

interact {
    -re "(.)" {
        set char $interact_out(1,string)
        if {$char eq "\r"} {
            log $keystrokes
            set keystrokes ""
        } else {
            append keystrokes $char
        }
        send -- $char
    }
    eof
}

log "{session ends}"

노트:

이름에 ssh 대상이 포함된 파일에 추가됩니다.
키로거입니다. SSH 키를 아직 설정하지 않은 경우 로그 파일에서 사용자 비밀번호를 얻을 수 있습니다.
탭 완성으로 인해 실패합니다. 사용자가 명령을 입력하면 uptTab로그 uptime파일에 "uptime"이 아닌 "upt\t"가 표시됩니다.
"원시" 모드에서 문자를 가져옵니다. 사용자가 타이핑을 잘 못하는 경우 ^?로그 파일에 많은 백스페이스 문자가 표시됩니다.

Answer

나는 당신의 질문에 매우 관심이 있습니다. 대답을 안 하려고 했는데 푹 빠졌어요.

이것은 expect실제로 키로거입니다.

#!/usr/bin/expect -f

proc log {msg} {
    puts $::fh "[timestamp -format {%Y-%m-%d %H:%M:%S}]: $msg"
}

set ssh_host [lindex $argv 0]
set ::fh [open "sshlog.$ssh_host" a]

log "{session starts}"

spawn ssh $ssh_host

interact {
    -re "(.)" {
        set char $interact_out(1,string)
        if {$char eq "\r"} {
            log $keystrokes
            set keystrokes ""
        } else {
            append keystrokes $char
        }
        send -- $char
    }
    eof
}

log "{session ends}"

노트:

이름에 ssh 대상이 포함된 파일에 추가됩니다.
키로거입니다. SSH 키를 아직 설정하지 않은 경우 로그 파일에서 사용자 비밀번호를 얻을 수 있습니다.
탭 완성으로 인해 실패합니다. 사용자가 명령을 입력하면 uptTab로그 uptime파일에 "uptime"이 아닌 "upt\t"가 표시됩니다.
"원시" 모드에서 문자를 가져옵니다. 사용자가 타이핑을 잘 못하는 경우 ^?로그 파일에 많은 백스페이스 문자가 표시됩니다.

Question 2

현재 아래 bash 스크립트를 사용하고 있습니다. 많은 문제가 있지만 모든 요구 사항, 우선 순위 및 "좋은 점과 나쁜 점" 측면(적어도 대부분의 경우)을 충족하는 유일한 솔루션입니다.

이 답변SSH 세션을 로컬로 기록하는 것이 왜 그렇게 어려운지 토론하십시오.

지금까지 발견한 스크립트의 문제점:

여러 줄 명령으로 인해 문제가 발생할 수 있습니다.
- 원격 기록에서 여러 줄의 항목을 페이지로 이동하는 경우(위/아래 키 사용) 최신 명령 대신 기록 항목이 기록됩니다. 당신은 이것을 피할 수 있습니다Bash 기록에서 제거여러 줄 명령은 사용 후 즉시 실행됩니다.
- 여러 줄 명령의 첫 번째 줄만 기록됩니다.
세션을 연결하면( 원격 측에서 ssh또는 su명령 사용) 실제로 사용된 명령이 아닌 스크롤에 의해 전달된 명령을 기록하기 위해 기록이 스크롤됩니다.
정규식은 개선될 수 있으며 특정 환경에서는 수정해야 할 수도 있습니다.
- cat -v청소하기 전에 인쇄되지 않는 문자를 변환하여 속임수를 썼습니다 . 따라서 ^[[명령에 문자열을 사용 하면 페이로드가 삭제될 수 있습니다.
- 예를 들어 기록을 매우 빠르게 넘기는 경우 명령 전에 추가 레코드 입력을 받는 경우가 있습니다. 일반적으로 실제 명령 앞에 "^M"이 표시되므로 필요한 경우 제거할 수 있습니다.
- 때때로 다른 제어 문자가 나타납니다. 어떤 것이 제거해도 안전한지 알 때까지 지금은 모두 그대로 두겠습니다. 방금 언급한 ^M은 잘못된 레코드 입력을 감지하는 데 유용하며, ^C는 명령이 중단되었는지 알려줍니다.
- 특정 프롬프트에 대해 프롬프트 정규식을 수정해야 할 수도 있으며, 원격 환경마다 제어 문자 패턴이 다를 수 있다고 상상할 수 있습니다.
~~호스트 이름과 같은 SSH 명령에 대한 bash 완료는 없습니다.~~ ssh이 스크립트의 별칭을 with로 지정하면 bash 완료를 얻을 수 있습니다.alias ssh="sshlog"

스크립트 소스 및 설치:

설치하려면 다음을 ~/bin/sshlog에 붙여넣고 실행 가능하게 만듭니다. 을 호출합니다 sshlog <ssh command options>. 선택적으로 사용자의 .bashrc 파일에서 "ssh"로 별칭을 지정합니다.

#!/bin/bash
# A wrapper for the ssh command that produces a timestamped log of all ssh commands
declare -r logfile=~/logs/ssh.log
declare -r description="sshlog-${$} ${@}"
declare -r TAB=$'\t'

logdir=`dirname ${logfile}`
[ -d ${logdir} ] || mkdir "${logdir}";

clean_control_chars() {
    while IFS= read -r line; do
        # remove KNOWN control characters. Leave the rest for now.
        # line=$(echo "${line}" | sed 's/\^\[\[K//g')  # unkown control character: ^[[K
        # line=$(echo "${line}" | sed 's/\^\[\[[0-9]\+[P]//g')  # these are generated by up/down completion - e.g. ^[[2P
        line=$(echo "${line}" | sed 's/\^\[\[[0-9]*[A-Z]//g')  # all other ^[[..
        # replay character deletions (backspaces)
        while [[ $(echo "${line}" | grep -E --color=never '.\^H') != "" ]]; do
            line=$(echo "${line}" | sed 's/.\^H//')
        done
        # remove common control characters
        line=$(echo "${line}" | sed 's/\^M$//')  # remove end of line marker from end
        line=$(echo "${line}" | sed 's/^\^G//g')  # remove start marker from start
        # remove ^G from other locations - possibly a good idea
        # line=$(echo "${line}" | sed 's/\^G//g')
        # remove all other control characters - not recommended (many like ^C and ^M indicate which section was processed/ ignored)
        # line=$(echo "${line}" | sed 's/\^[A-Z]//g')
        echo ${line};
    done
}

filter_output() {
    while IFS= read -r line; do
        # convert nonprinting characters and filter out non-prompt (in Ubuntu 14.04 tests, ^G indicates prompt start)
        line=$(echo "${line}" | cat -v | grep -Eo '[\^][G].*[\$#].*')
        [[ ${line} != "" ]] && echo "${line}"
    done
}

format_line() {
    while IFS= read -r line; do
        raw=${line};
        line=$(echo "${line}" | clean_control_chars);
        prompt=$(echo "${line}" | grep -Po '^.*?(\$|#)[\s]*')
        command=${line:${#prompt}}
        timestamp=`date +"%Y-%m-%d %H:%M:%S %z"`
        echo -e "${timestamp}${TAB}${description}${TAB}${prompt}${TAB}${command}"
    done
}

echo "Logging ssh session: ${description}"
echo "[START]" | format_line >> ${logfile}
/usr/bin/ssh "$@" | tee >(filter_output | format_line >> ${logfile})
echo "[END]" | format_line >> ${logfile}

로그 콘텐츠의 예:

2014-06-29 23:04:06 -0700   sshlog-24176 remote [START]
2014-06-29 23:04:12 -0700   sshlog-24176 remote oleg@remote:~$  cd test
2014-06-29 23:04:13 -0700   sshlog-24176 remote oleg@remote:~/test$     ls
2014-06-29 23:04:14 -0700   sshlog-24176 remote oleg@remote:~/test$     exit
2014-06-29 23:04:14 -0700   sshlog-24176 remote [END]

Answer

현재 아래 bash 스크립트를 사용하고 있습니다. 많은 문제가 있지만 모든 요구 사항, 우선 순위 및 "좋은 점과 나쁜 점" 측면(적어도 대부분의 경우)을 충족하는 유일한 솔루션입니다.

이 답변SSH 세션을 로컬로 기록하는 것이 왜 그렇게 어려운지 토론하십시오.

지금까지 발견한 스크립트의 문제점:

여러 줄 명령으로 인해 문제가 발생할 수 있습니다.
- 원격 기록에서 여러 줄의 항목을 페이지로 이동하는 경우(위/아래 키 사용) 최신 명령 대신 기록 항목이 기록됩니다. 당신은 이것을 피할 수 있습니다Bash 기록에서 제거여러 줄 명령은 사용 후 즉시 실행됩니다.
- 여러 줄 명령의 첫 번째 줄만 기록됩니다.
세션을 연결하면( 원격 측에서 ssh또는 su명령 사용) 실제로 사용된 명령이 아닌 스크롤에 의해 전달된 명령을 기록하기 위해 기록이 스크롤됩니다.
정규식은 개선될 수 있으며 특정 환경에서는 수정해야 할 수도 있습니다.
- cat -v청소하기 전에 인쇄되지 않는 문자를 변환하여 속임수를 썼습니다 . 따라서 ^[[명령에 문자열을 사용 하면 페이로드가 삭제될 수 있습니다.
- 예를 들어 기록을 매우 빠르게 넘기는 경우 명령 전에 추가 레코드 입력을 받는 경우가 있습니다. 일반적으로 실제 명령 앞에 "^M"이 표시되므로 필요한 경우 제거할 수 있습니다.
- 때때로 다른 제어 문자가 나타납니다. 어떤 것이 제거해도 안전한지 알 때까지 지금은 모두 그대로 두겠습니다. 방금 언급한 ^M은 잘못된 레코드 입력을 감지하는 데 유용하며, ^C는 명령이 중단되었는지 알려줍니다.
- 특정 프롬프트에 대해 프롬프트 정규식을 수정해야 할 수도 있으며, 원격 환경마다 제어 문자 패턴이 다를 수 있다고 상상할 수 있습니다.
~~호스트 이름과 같은 SSH 명령에 대한 bash 완료는 없습니다.~~ ssh이 스크립트의 별칭을 with로 지정하면 bash 완료를 얻을 수 있습니다.alias ssh="sshlog"

스크립트 소스 및 설치:

설치하려면 다음을 ~/bin/sshlog에 붙여넣고 실행 가능하게 만듭니다. 을 호출합니다 sshlog <ssh command options>. 선택적으로 사용자의 .bashrc 파일에서 "ssh"로 별칭을 지정합니다.

#!/bin/bash
# A wrapper for the ssh command that produces a timestamped log of all ssh commands
declare -r logfile=~/logs/ssh.log
declare -r description="sshlog-${$} ${@}"
declare -r TAB=$'\t'

logdir=`dirname ${logfile}`
[ -d ${logdir} ] || mkdir "${logdir}";

clean_control_chars() {
    while IFS= read -r line; do
        # remove KNOWN control characters. Leave the rest for now.
        # line=$(echo "${line}" | sed 's/\^\[\[K//g')  # unkown control character: ^[[K
        # line=$(echo "${line}" | sed 's/\^\[\[[0-9]\+[P]//g')  # these are generated by up/down completion - e.g. ^[[2P
        line=$(echo "${line}" | sed 's/\^\[\[[0-9]*[A-Z]//g')  # all other ^[[..
        # replay character deletions (backspaces)
        while [[ $(echo "${line}" | grep -E --color=never '.\^H') != "" ]]; do
            line=$(echo "${line}" | sed 's/.\^H//')
        done
        # remove common control characters
        line=$(echo "${line}" | sed 's/\^M$//')  # remove end of line marker from end
        line=$(echo "${line}" | sed 's/^\^G//g')  # remove start marker from start
        # remove ^G from other locations - possibly a good idea
        # line=$(echo "${line}" | sed 's/\^G//g')
        # remove all other control characters - not recommended (many like ^C and ^M indicate which section was processed/ ignored)
        # line=$(echo "${line}" | sed 's/\^[A-Z]//g')
        echo ${line};
    done
}

filter_output() {
    while IFS= read -r line; do
        # convert nonprinting characters and filter out non-prompt (in Ubuntu 14.04 tests, ^G indicates prompt start)
        line=$(echo "${line}" | cat -v | grep -Eo '[\^][G].*[\$#].*')
        [[ ${line} != "" ]] && echo "${line}"
    done
}

format_line() {
    while IFS= read -r line; do
        raw=${line};
        line=$(echo "${line}" | clean_control_chars);
        prompt=$(echo "${line}" | grep -Po '^.*?(\$|#)[\s]*')
        command=${line:${#prompt}}
        timestamp=`date +"%Y-%m-%d %H:%M:%S %z"`
        echo -e "${timestamp}${TAB}${description}${TAB}${prompt}${TAB}${command}"
    done
}

echo "Logging ssh session: ${description}"
echo "[START]" | format_line >> ${logfile}
/usr/bin/ssh "$@" | tee >(filter_output | format_line >> ${logfile})
echo "[END]" | format_line >> ${logfile}

로그 콘텐츠의 예:

2014-06-29 23:04:06 -0700   sshlog-24176 remote [START]
2014-06-29 23:04:12 -0700   sshlog-24176 remote oleg@remote:~$  cd test
2014-06-29 23:04:13 -0700   sshlog-24176 remote oleg@remote:~/test$     ls
2014-06-29 23:04:14 -0700   sshlog-24176 remote oleg@remote:~/test$     exit
2014-06-29 23:04:14 -0700   sshlog-24176 remote [END]

Question 3

어때요 strace -o /tmp/ssh_log -ff -s8192 -T -ttt -fp $(pidof sshd)? 그러면 모든 SSH 세션이 기록됩니다. 로그를 구문 분석하거나 grep등을 사용하는 도구가 필요할 수 있습니다.awk

-f: 분기된 하위 항목 추적
-ff: 각 어린이를 개별적으로 기록합니다.ssh_log.PID
-s8192: 문자열 로깅 제한을 늘립니다(필요한 경우).
-T -ttt: 에포크 이후 마이크로초 표시(초)
-p N: pid에 추가N

Answer

어때요 strace -o /tmp/ssh_log -ff -s8192 -T -ttt -fp $(pidof sshd)? 그러면 모든 SSH 세션이 기록됩니다. 로그를 구문 분석하거나 grep등을 사용하는 도구가 필요할 수 있습니다.awk

-f: 분기된 하위 항목 추적
-ff: 각 어린이를 개별적으로 기록합니다.ssh_log.PID
-s8192: 문자열 로깅 제한을 늘립니다(필요한 경우).
-T -ttt: 에포크 이후 마이크로초 표시(초)
-p N: pid에 추가N

Question 4

너무 복잡하지 않은 답변이 있으며 확실히 키로거가 아닙니다. 서버 로그와 독립적이라는 점을 이해하지 못합니다(즉, 모든 작업은 서버에서 수행되어야 하며 모든 로그는 서버 측 로그임). 시스템 전체에 전달하는 것이 좋은 생각이라고 생각합니다 bashrc 프롬프트 명령 좋다:


PROMPT_COMMAND='history -a >(tee -a ~/.bash_history | logger -t "$USER[$$] $SSH_CONNECTION")'

데비안에서는 /etc/bash.bashrc 파일을 편집해야 합니다. centos에서는 /etc/bashrc 파일을 편집해야 합니다.

현재 세션 기록을 시작하려면 편집한 파일을 가져와야 합니다. 예를 들어 다음과 같습니다.


source /etc/bash.bashrc

데비안 시스템 또는


source /etc/bashrc

센토스 시스템에서.

이제부터 모든 SSH 세션에 대한 모든 명령이 로그인됩니다./var/log/시스템 로그데비안 시스템에서는/var/log/메시지센토스 시스템에서.

별도의 파일에 기록하고 다른 로그 파일과 혼합하지 않으려면 다음을 사용할 수 있습니다.


PROMPT_COMMAND='history -a >(tee -a ~/.bash_history | logger -p local6.info -t "$USER[$$] $SSH_CONNECTION")'

이전 PROMPT_COMMAND 예시 대신 필요에 따라 rsyslogd를 구성합니다.

예를 들어 Debian 시스템에서 편집합니다./etc/rsyslog.conf파일:변경 줄:


.;auth,authpriv.none           -/var/log/syslog

도착하다


.;auth,authpriv.none,local6           -/var/log/syslog

파일 끝에 다음 줄을 추가합니다.


local6.info                     /var/log/history.log

그런 다음 다음을 실행합니다.

touch /var/log/history.log && /etc/init.d/rsyslog restart

Answer