Cada nuevo usuario que se conecta genera una nueva sshd
sesión con un PID específico. Puede usar pstree
para imprimir qué comandos se heredan de qué sshd
sesión y luego hacer una verificación cruzada de este PID /var/log/auth.log
.
Ejemplo (anónimo): inicié sesión en un servidor remoto con 3 sesiones simultáneas, con el mismo usuario remoto. Ahora quiero averiguar de qué IP vino el cliente que ejecutó el comando watch date
.
$ pstree -p | grep watch
| |-sshd(15243)---sshd(15342)---bash(15343)---watch(15450)
$ sudo grep 15243 /var/log/auth.log
Mar 7 15:37:29 XXXXXXXXXX sshd[15243]: Accepted publickey for XXXXXXXXXX from 12.34.56.78 port 48218 ssh2
Mar 7 15:37:29 XXXXXXXXXX sshd[15243]: pam_unix(sshd:session): session opened for user XXXXXXXXXX by (uid=0)
Mar 7 15:37:44 XXXXXXXXXX sudo: XXXXXXXXXX : TTY=pts/7 ; PWD=/home/XXXXXXXXXX ; USER=root ; COMMAND=/bin/grep 15243 /var/log/auth.log
pstree -p
muestra que el watch
comando se hereda de sshd
con PID 15243. El uso grep
de este PID en /var/auth/auth.log
muestra que fue IP 12.34.56.78 que inició esta sesión. Por lo tanto, este también es el usuario que comenzó watch
.
En cuanto a encontrar history
específicamente a este usuario, no se puede hacer por lo que puedo ver cuando todos los usuarios remotos están usando el mismo usuario SSH local. Además, se puede falsificar / desactivar fácilmente, etc., por lo que no es realmente confiable. Si se guarda en el archivo de historial, puede buscar el cp
comando y mirar hacia atrás en el archivo, pero si no está allí, entonces no hay mucho que hacer.
grep: /var/log/auth.log: No such file or directory
:-(