我正在运行一个脚本来监视SSH登录。我添加到了/etc/pam.d/sshd
session optional pam_exec.so seteuid /usr/bin/tgstk login
通过这种方式,我可以访问一些变量PAM_ *告诉我有关远程主机,已登录用户ecc ...
实际上,我无法访问有关会话的其他信息,例如身份验证方法(密码,密钥,使用的密钥)。我的Debian 10服务器将某些内容记录到/var/log/auth.log
Sep 7 20:27:50 andromaca sshd[25893]: Accepted publickey for root from X.X.X.X port XXXXX ssh2: RSA SHA256:<my key here>
但是我的Ubuntu工作站的行为不同:甚至设置
SyslogFacility USER
LogLevel VERBOSE
不允许我阅读日志中的内容。
是否有任何通用方式来获取此会话信息,可能不取决于日志?
答案 0 :(得分:0)
我确定可以使用
journalctl -u ssh.service