Как проверить TTY для указанного пользователя в ssh-соединении?

Если пользователь намеренно не скрывает свою деятельность, будет что-то вроде этой работы ?:

cat ~/.bash_history | grep "name_of_command"

Или

cat /home/user_name_here/.bash_history | grep search_string

Хотя это может быть лучшим решением включить PAM (сменные модули аутентификации) Аудит TTY: pam_tty_audit.8

Установить auditd (примечание: убедитесь, что сервер ssh установлен) и перезагрузиться:

sudo apt-get install auditd && sudo reboot

Удалите все pam_tty_audit:

sed '/pam_tty_audit.so disable=/d' /etc/pam.d/sshd

Добавьте строку включения в файлы конфигурации pam.d:

sudo sh -c "echo 'session required pam_tty_audit.so enable=*' >> /etc/pam.d/sshd"

Запустите Auditd:

sudo service auditd status

Если он не запущен:

sudo service auditd start

И grep tty отчет для пользователя UID:

sudo aureport --tty | grep $(id -u username_here)

Связанное чтение:

http: // doc. opensuse.org/products/draft/SLES/SLES-security_sd_draft/cha.audit.comp.html#sec.audit.auditd

https://serverfault.com/questions/336217 / how-do-i-log-каждую команду выполняется пользователем

http://www.cyberciti.biz/tips/linux-audit-files- чтобы видеть, кто-из-изменения к а-file.html