我能够从安全日志中找到使用ssh从哪里登录的人。
last 命令也证明了这一点。
有什么原因可以找出在该ssh会话中运行的命令是什么?
答案 0 :(得分:1)
您可以查看history和用户~/.bash_history中是否存在。
必须为此设置env变量HISTTIMEFORMAT:
export HISTTIMEFORMAT="%d/%m/%y %T "以获取时间和日期信息
答案 1 :(得分:1)
过去执行过哪些用户可能无法执行的操作历史命令默认情况下不存储时间戳。您需要启用这些内容以供将来参考。
在/ etc / profile
中添加以下内容HISTSIZE= HISTFILESIZE= HISTTIMEFORMAT="%d/%m/%y %T "
您还可以启用auditd,这是一个非常丰富的应用程序。