Сейчас я покажу, как мониторить подключение к ssh сессии для определенного пользователя.
Делается это очень просто. /etc/ssh/sshrc – этот файл который позволяет выполнить любые действия при подключении пользователя, т. к. его нет по умолчанию — создадим.
ekzorchik@ekv:~$ sudo touch /etc/ssh/sshrc
внесем в него следующие изменения:
echo $(date) $SSH_CONNECTION $USER $SSH_TTY >> /var/log/sshd_connect
из под привилегированного пользователя создадим этой файл:
ekzorchik@ekv:~$ sudo -s && touch /var/log/sshd_connect
далее нужно дать права на запись для пользователя (в моем случае слежу за учетной записью ekzorchik) за которым мы будем следить,
ekzorchik@ekv:~$ sudo chown root:root /var/log/sshd_connect
Выставляем права доступа на этот файл:
ekzorchik@ekv:~$ sudo chmod 722 /var/log/sshd_connect
ekzorchik@ekv:~$ ls -l /var/log/sshd_connect
-rwx-w–w- 1 root root 596 2012-06-28 08:30 /var/log/sshd_connect
На этом всё, теперь подлогиниваемся к серверу и смотрим какой лог записался:
Как видим лог отображает достаточно подробную информацию:
День недели — Четверг
Месяц — Июнь
Время – 08:34:57
Год – 2012
IP адрес сервера — 10.0.2.15
Учетная запись из под какой произошел вход — ekzorchik
И пользователь (в данном случае ekzorchik) не может удалить этот файл: ekzorchik@ekv:~$ rm /var/log/sshd_connect rm: cannot remove `/var/log/sshd_connect’: Permission denied
Большое спасибо за инструкцию, только я не понял почему именно
Сейчас я покажу, как мониторить подключение к ssh сессии для ОПРЕДЕЛЁННОГО ПОЛЬЗОВАТЕЛЯ
проверил – работает для всех пользователей в системе