主页 / unix / 问题 / 466313
Accepted
101010
Asked: 2018-09-02 13:47:48 +0800 CST

如何监控 SSH 会话发生的情况?

  • 772

我有一个可以扫描到 SFTP 的网络设备(扫描仪)。不幸的是,这给我带来了问题。我可以从 SSH 日志中看到它能够登录,但我看不到它在此之后在做什么。我认为它遇到了找不到文件或目录的情况。该设备没有详细的日志记录功能。所以我必须以某种方式在服务器上执行此操作。

如何监控/记录成功建立 SSH 连接后发生的情况?

ssh

2 个回答

  1. Best Answer

    根据 RHEL 论坛中的这个解决方案,标题为:如何将 SSH 配置为调试模式?

    方法 #1 - 另一个端口上的 sshd

    $ /usr/sbin/sshd -ddd -D -p (port) 2>&1

    然后连接到它:

    $ ssh -p (port)

    方法 #2 - 更改 sshd 的配置文件

    $ vim /etc/ssh/sshd_config

    然后更改日志级别:

    LogLevel DEBUG3

    然后重启sshd

    $ service sshd restart

    sshd_config 手册页

    $ man sshd_config
...
LogLevel:

Gives the verbosity level that is used when logging messages from sshd.  
The possible values are: QUIET, FATAL, ERROR, INFO, VER-BOSE, DEBUG, DEBUG1, 
DEBUG2 and DEBUG3. The default is INFO. DEBUG and DEBUG1 are equivalent. DEBUG2 
and DEBUG3 each specify higher levels of debugging output. Logging with a DEBUG 
level violates the privacy of users and is not recommended.
    • 1

  2. 最好的解决方案是启用 TTY 日志记录,以便它显示在审核日志中

    echo "session     required      pam_tty_audit.so enable=*" >> /etc/pam.d/password-auth-ac
echo "session     required      pam_tty_audit.so enable=*" >> /etc/pam.d/system-auth-ac

    然后,要查看日志,您可以使用:

    aureport --tty
    • 0

相关问题