Voulez-vous le découvrir après quelque chose qui s'est déjà produit (médecine légale) ou voulez-vous faire en sorte que vous puissiez enregistrer qui fait quoi ?
Pour la médecine légale : Sur mon système Fedora, /var/log/secure contient des enregistrements de chaque authentification par clé publique et de chaque nom d'utilisateur, mais ne dit pas quelle clé a été utilisée. Vous n'avez probablement pas de chance ici
Pour l'auditabilité future : Vous pouvez utiliser l'option authorized_keys pour définir les commandes auxquelles chaque connexion est limitée, puis exécuter un programme qui enregistre l'authentification (et éventuellement les commandes suivantes, en utilisant quelque chose comme sudoscript ):
Si la phrase d'options au début d'une ligne contient le mot clé command="string", toute connexion ssh qui s'authentifie à l'aide de cette clé particulière n'exécutera que la commande spécifiée, même si la ligne de commande qui lui a été donnée spécifiait une autre commande.
Il faut dire qu'il est probablement plus judicieux de créer plusieurs comptes, puis de mettre en place une zone d'accès partagée...
