本文章来给各位同学介绍一下关于linux查看ssh用户登录日志与操作日志，登录日志只要在linux中就可以查看了，如果是操作日志我们需要自己先增加，然后再可以直接查看了，下面我都举了实例说明。

ssh用户登录日志

linux下登录日志在下面的目录里：

代码如下

cd /var/log

查看ssh用户的登录日志：

代码如下

less secure

1. 日志简介

日志对于安全来说，非常重要，他记录了系统每天发生的各种各样的事情，你可以通过他来检查错误发生的原因，或者受到攻击时攻击者留下的痕迹。日志主要的功能有：审计和监测。他还可以实时的监测系统状态，监测和追踪侵入者等等。

在Linux系统中，有三个主要的日志子系统：

连接时间日志–由多个程序执行，把纪录写入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和 utmp文件，使系统管理员能够跟踪谁在何时登录到系统。进程统计–由系统内核执行。当一个进程终止时，为每个进程往进程统计文件(pacct或acct)中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。

错误日志–由syslogd(8)执行。各种系统守护进程、用户程序和内核通过syslog(3)向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。 常用的日志文件如下：

access-log 纪录HTTP/web的传输

acct/pacct 纪录用户命令

aculog 纪录MODEM的活动

btmp 纪录失败的纪录

lastlog 纪录最近几次成功登录的事件和最后一次不成功的登录

messages 从syslog中记录信息(有的链接到syslog文件)

sudolog 纪录使用sudo发出的命令

sulog 纪录使用su命令的使用

syslog 从syslog中记录信息(通常链接到messages文件)

utmp 纪录当前登录的每个用户

wtmp 一个用户每次登录进入和退出时间的永久纪录

xferlog 纪录FTP会话

utmp、wtmp和lastlog日志文件是多数重用UNIX日志子系统的关键–保持用户登录进入和退出的纪录。有关当前登录用户的信息记录在文件utmp中；登录进入和退出纪录在文件wtmp中；最后一次登录文件可以用lastlog命令察看。数据交换、关机和重起也记录在wtmp文件中。所有的纪录都包含时间戳。这些文件(lastlog通常不大)在具有大量用户的系统中增长十分迅速。例如wtmp文件可以无限增长，除非定期截取。许多系统以一天或者一周为单位把wtmp配置成循环使用。它通常由cron运行的脚本来修改。这些脚本重新命名并循环使用wtmp文件。通常，wtmp在第一天结束后命名为wtmp.1；第二天后wtmp.1变为wtmp.2等等，直到wtmp. 7。

每次有一个用户登录时，login程序在文件lastlog中察看用户的UID。如果找到了，则把用户上次登录、退出时间和主机名写到标准输出中，然后login程序在lastlog中纪录新的登录时间。在新的lastlog纪录写入后，utmp文件打开并插入用户的utmp纪录。该纪录一直用到用户登录退出时删除。utmp文件被各种命令文件使用，包括who、w、users和finger。

下一步，login程序打开文件wtmp附加用户的utmp纪录。当用户登录退出时，具有更新时间戳的同一utmp纪录附加到文件中。wtmp文件被程序last和ac使用。

2. 具体命令

wtmp和utmp文件都是二进制文件，他们不能被诸如tail命令剪贴或合并(使用cat命令)。用户需要使用who、w、users、last和ac来使用这两个文件包含的信息。

who：who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。例如：who(回车)显示

代码如下

chyang pts/o Aug 18 15:06

ynguo pts/2 Aug 18 15:32

ynguo pts/3 Aug 18 13:55

lewis pts/4 Aug 18 13:35

ynguo pts/7 Aug 18 14:12

ylou pts/8 Aug 18 14:15

如果指明了wtmp文件名，则who命令查询所有以前的纪录。命令who /var/log/wtmp把报告自从wtmp文件创建或删改以来的每一次登录。

w：w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息。例如：w(回车)显示：3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27

代码如下

USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT

chyang pts/0 202.38.68.242 3:06pm 2:04 0.08s 0.04s -bash

ynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05 w

lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s -bash

lewis pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh/home/users/

ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail

ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s -bash

users：users用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名把显示相同的次数。例如：users(回车)显示：chyang lewis lewis ylou ynguo ynguo

last：last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。例如：

代码如下

chyang pts/9 202.38.68.242 Tue Aug 1 08:34 – 11:23 (02:49)

cfan pts/6 202.38.64.224 Tue Aug 1 08:33 – 08:48 (00:14)

chyang pts/4 202.38.68.242 Tue Aug 1 08:32 – 12:13 (03:40)

lewis pts/3 202.38.64.233 Tue Aug 1 08:06 – 11:09 (03:03)

lewis pts/2 202.38.64.233 Tue Aug 1 07:56 – 11:09 (03:12)

SSH操作日志

ssh程序自动添加日志功能：

1、首先创建存放日志的文件夹并开放读写权限

代码如下

$ mkdir ~/ssh_logs/

$ sudo chmod -R 777 ~/ssh_logs/

2、将原有ssh程序修改为另外一个名字，然后创建一个执行脚本，脚本中调用原来的ssh程序，只是在调用的时候添加了之前说的tee命令

代码如下

$ sudo mv /usr/bin/ssh /usr/bin/ssh_ori

$ sudo vi /usr/bin/ssh

新建ssh文件内容如下：

———————————————————————

#! /bin/shmkdir -p ~/ssh_logsIP=$(echo $1 | grep -oP “((?:(?:25[0-5]|2[0-4]d|[01]?d?d).){3}(?:25[0-5]|2[0-4]d|[01]?d?d))”)

LOGNAME=${IP}_$(date +”%Y%m%d_%T”)

ssh_ori $@ | tee -a ~/ssh_logs/${LOGNAME}.log

———————————————————————

脚本中首先利用正则表达式将访问IP提取出来，然后根据IP和当前时间戳决定日志文件名称，最后调用原有ssh程序(添加tee命令功能)

3、添加执行权限

代码如下

$ sudo chmod a+x /usr/bin/ssh

后续使用ssh登录主机进行操作时会将操作及输出写入到对应的日志文件中，日志文件格式为【访问IP_8位日期_时分秒.log】举例：

每次执行【ssh 192.168.1.100 -l user1】 或者 【ssh user1@192.168.1.100】时(不支持使用主机名)会根据当前时间及访问IP生成一个新的日志文件：【192.168.1.100_20130726_17:36:18.log】，

Teleport是一款Golang语言开发的用来替代sshd的ssh服务器，支持通过 SSH 或者 HTTPS 远程访问，支持集群、Web登陆、SSH历史记录还重放用以操作分享和安全审计，基于Golang ssh包构建开发，实现完全兼容OpenSSH。

最近Teleport 4.2版本中新增加ssh增强的回话记录功能用来接收非结构化的ssh会话，并将其通过结构化事件流来输出。该功能使用到了Linux内核中集成的一项新技术eBPF(简称为BPF)。用来完善Teleport审计功能的不足之处。本文虫虫就给大家介绍Teleport中是如何做的。

背景

Teleport的一个优势就是，可以对ssh会话全程记录。该功能可以捕获用户屏幕上显示的所有内容。之后，可以使用该记录回放还原所有操作，以便于审计。这些记录易于理解，并提供了有关用户在会话过程中所做操作和显示的信息

然而，和其他同类工具一样(堡垒机)，Teleport也有不足之处，用户可以使用一些方法绕过会话记录。其中包括：

混淆命令：

比如通过加密或者其他方式对命令予以混淆。比如下面的语句，用base64编码对要执行的命令进行了混淆。

echo Y3VybCBodHRwOi8vd3d3LmV4YW1wbGUuY29tCg== | base64 -d | sh

这样实际的执行命令(curl example.com)不会直接被记录。

Shell脚本：

如果用户通过上传并执行脚本的方式，也不能捕获脚本中运行的命令，只能捕获脚本的输出。

终端控制：

ssh终端可以支持多种控件，比如用户可以禁用终端回显的控件，在一些应用程序通常会使用。例如sudo命令当它们提示用户输入密码时。这是也不能在ssh记录中捕获它们。

此外，由于TTY流是非结构化性质，会话记录在某种程度上可能难以捕获和监视。

技术实现

为了解决安全审计的这些不足，Teleport需要一种能将非结构化ssh会话转换为结构化事件流的方法。这就是本文要说的增强回话记录功能，具体功能展示如下：

技术选型

通过多种方法对比，包括了内容从正则表达式模式匹配之类的临时方法到自己解析原始SSH会话之类的方法，还探索了Linux提供的各种API和系统，例如Audit，fanotify和BPF等，在走技术对比时候，要考虑的两个标准是准确性和性能问题：

减少误报，最好减少到零。监控系统(安全审计)，首先要考虑是的准确性问题，如果报警很多，则对警报的关注度就会减少。可能会导致严重问题被忽略掉。

减少由监控引起的任何性能影响，最好为零。监控系统要尽量避免影响系统的性能。

多种方法中，误报问题都很严重。无法对构成SSH会话的字节流进行准确的解析和解释，不能防止警报疲劳。

还有一些方法，会有性能问题。比如Linux Audit。

通过查看文件系统访问，有一些替代方法。最突出的两个是inotify和fanotify。inotify不错，做为了初始备选项，但是其缺少递归目录监视功。fanotify更有希望，也存在两个问题。

布伦丹.格雷格在BPF性能工具书中提到，在重负载时，opensnoop比对fanotify，fanotify 占了67%的CPU，而opensnoop只用到1%。

Linux内核最近合并到一个补丁，以提高fanotify的性能，使其更适合于对整个文件系统监视，这样可以在Teleport中的使用更加紧密地契合。然而，补丁需要在Linux 5.1中才被合并，目前还没有开箱即用的主流发行版支持。

考虑到这些考虑因素，Teleport最终选择了基于BPF程序链构建的解决方案，该解决方案减少了误报并且对性能的影响最小。

BPF介绍

BPF，原本是Unix的一个包过滤器，伯克利包过滤器(Berkeley Packet Filter)。后来被移植到了Linux中。2013 年，Alexei Starovoitov 对 BPF 做完善和改进，新版本被命名为 eBPF (extended BPF)，简写为BPF，而将老的BPF叫做cBPF(classic BPF)。eBPF在增加了映射和尾调用等新特性，并且还重写了JIT 编译器。新版语言比 cBPF 更接近原生机器语言。BPF允许用户空间程序以安全和高效的方式从内核中的某些位置挂接并发出事件。

安全意味着BPF程序不会陷入无限循环而导致系统瘫痪。BPF程序不太可能像内核模块一样可能使整个操作系统崩溃。

BPF程序也很有效，如果不能足够快地使用它们，则丢弃事件，而不是拖累整个系统的性能。

目前Linux中有大量的系统工具都是基于BPF进行了重构(比如iptables)，布伦丹.格雷格的书《BPF高性能工具》中(blog中)介绍了大量的工具可以供大家学习。

Teleport对接BPF

Teleport中使用了三个BPF程序：execsnoop捕获程序执行，opensnoop捕获程序打开的文件，tcpconnect捕获程序建立的TCP连接。

为了更好地理解这些BPF程序的功能，可以运行时查看execsnoop的输出man ls。

看起来，简单地运行man二进制文件似乎是在幕后执行了许多其他程序。

Teleport 将这些程序嵌入其二进制文件中，并且在启用"增强的会话记录"功能后，它将生成并运行它们。

这些程序本身是调试和跟踪的出色工具，它能给出系统上正在执行什么操作，而不仅限于一个用户。

要将程序执行与特定的SSH会话相关联，还使用了cgroups(尤其是cgroupv2)。Teleport启动SSH会话时，它将首先重新启动自身并将其置于cgroup中。这不仅允许该进程，而且可以使用唯一ID跟踪Teleport启动的所有将来进程。Teleport运行的BPF程序已更新，还可以发出执行它们的程序的cgroup ID。这样就可以将事件与特定的SSH会话和身份相关联。

局限性

目前Teleport没有完成增强的会话记录。仍然存在一些差距，将以后版本解决。

值得指出的是，通过会话记录，Teleport可以捕获由于其特权位置而构成会话的字节流(字节流必须流过Teleport)。至关重要的是，会话记录的完整性不依赖于主机自己报告的任何信息。但是，增强的审核功能依赖于主机准确地向Teleport报告信息。如果主机的完整性受到损害，则增强审核的完整性也会收到影响。此外，Teleport仅监控系统中最关键的部分系统调用，而不是全部调用。

目前，增强的会话记录最适合非root用户，对有权访问root的用户可以通过多种方式禁用增强会话记录。

实践

在没有背景的情况下，可以使用下面的脚本进行增强的会话记录。

首先启动Ubuntu 19.04或RHEL/CentOS 8 VM，然后运行上面的脚本。该脚本会安装内核头文件和bcc-tools，这是运行增强会话记录的先决条件。此外，脚本还安装jq，一个命令的json解析工具(虫虫以前文章介绍过，可以参考)，这有助于可视化结构化事件流。

按照说明输入终端后，屏幕上看到以下类似的信息：

由此可见，curl程序是由用户以两种方式执行的。首先是程序本身的执行。第二个是程序的行为，curl发出了网络请求，也可以看到它。你可以尝试执行其他操作，例如混淆的命令，或者脚本方式执行等，应该在日志中查看执行结果。

要求

Teleport增强会话记录的最低要求需要启动BPF支持的 Linux内核4.18 。目前有多个发行版本可直接使用它，包括Ubuntu 19.04，Debian 10和RHEL/CentOS 8。

还需要安装内核头文件和bcc-tools。对于上面列出的操作系统，发行版的包管理器中安装它们，比如对Centos 8只需运行

yum install -y kernel-headers bcc-tools

或者Ubuntu下执行

apt install -y linux-headers-$(uname -r) bpfcc-tools

如果尚未打包bcc-tools，则必须从源代码构建它们。

要在Teleport中启用增强的会话记录，只需在文件配置中将其启用即可，如下所示：

ssh_service:

enhanced_recording:

enabled: yes

结论

尽管没有任何监控系统是绝对可靠的，但采用具有多种防护措施的纵深防御策略可以帮助发现问题并采取适当的措施。Teleport的增强型会话记录功能可以为系统上运行的命令的安全审计，提供更强大的记录和操作可见性。