在Linux中记录“人员”活动

Modified on: Fri, 16 Aug 2019 13:20:02 +0800

所以我读过许多与此相关的帖子,并且比以前更加困惑。有各种工具的建议,包括ttyrec,snoopy,acct,rootsh,sudosh,ttyrpld,unix审计等。

在我的情况下,我希望能够记录在系统上执行的所有命令(例如启用了时间戳的历史记录),但我也想知道谁做了什么?但是,我们都通过ssh登录到用户帐户的相同小部分(取决于我们正在做什么)。如何获取命令日志,包括“谁”将给我的信息(关于连接),以便我可以将操作跟踪到特定人员,只是一个普通的“用户”?

作者:Ashimema

最佳答案

auditd包是为此而设计的,您可以使用PAM为每个登录分配会话ID,以便您可以将帐户上的活动追溯到原始登录(然后检查登录日志到确定该用户登录的位置,并使用ausearch命令找到您感兴趣的事件。您可以阅读相当全面的指南这里虽然需要更改一些更精细的细节以匹配您的发行版。 Redhat的网站上有常见问题解答以及其他一些文档此处

由于这不依赖于尝试记录键入shell的命令或记录用户的命令历史记录,因此它应该记录诸如打开vi之类的东西(可以通过X或screen完成) ),写一个脚本(可能一次用vi的剪切/粘贴命令和一些:.!/usr/games/fortune运行一个字符来获取一些你可能无法获得的源数据)记录然后运行:%!/bin/bash命令。

作者:DerfK

相关问答

添加新评论