从外观上看,修正ksh使历史更改不可能是相当容易的。 我已经看到所有的build议,使HIST *环境variables只读,并使用chattr使历史文件追加(与chattr + .sh_history)。
然而,Bash有两件事似乎使得不可能防止历史的改变:历史命令(带有历史-c和历史-d)以及历史文件与实际运行历史(保存在存储器中)的分离, 。 我也在这里阅读serverfault,如果你杀了当前的shell,那么历史将不会被写出来。
有什么办法可以防止Bash的历史变更? 我希望能够保存所有的用户命令,而用户无法从历史中删除任何东西。
Korn贝壳的任何进一步提示也是受欢迎的。 (我知道ksh-93审计…不知道我们是否可以使用它。)
以下是将所有执行的命令发送到系统日志服务器的解决scheme。
http://blog.rootshell.be/2009/02/28/bash-history-to-syslog/
从博客文章中提取
以下是将用户执行的所有命令的副本发送到Syslog服务器的两种方法。 第一个将使用Bash“陷阱”function。 第二个是在Bash源代码中应用的补丁。
使用陷阱
只需在/ etc / profile中添加以下几行:
function log2syslog { declare command command=$(fc -ln -0) logger -p local1.notice -t bash -i — $USER : $command } trap log2syslog DEBUG 当Bash启动时, /etc/profile被parsing和执行。 目标是使用陷阱function并在用户每次生成活动时调用一个函数。 陷阱函数(log2syslog)将从历史logging中提取最后一个命令,并使用logger命令将其logging到Syslog中。 很容易实现,但这种方法:
spawns new process at each command logged (can have a negative effect when the server activity is high) is not transparent to the user (regular users can't edit /etc/profile but can read it!)
这就是为什么第二种方法将是首选。 使用补丁
方法是在Bash源码树上应用一个补丁并重新编译该shell。 它需要一个带有编译器和源代码的环境,但是这个方法将使用更less的CPU,并且将是完全透明的!
补丁的一个例子可以在这里find 。 手动将修补程序应用到Bash 4源树需要五分钟的时间。
这是一个Syslog消息的例子:
Feb 27 19:30:51 honey bash: HISTORY: PID=21099 UID=1000 echo foo!
如果你想logging你的用户在做什么,那么看看史努比 。 它也可以作为CentOS安装包来使用。