服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 我如何logging用户的bash命令?
Intereting Posts
硬盘兼容性重build为RAID 在Netgear GS108交换机上的OpenVPN? ec2实例显示乱码名称root ebs重复 SharePoint 2010企业维基链接可以链接到父网站的对象吗? 创build我自己的拨号互联网服务 保护服务器不受灰尘影响 查看由时间戳同步的多个日志的工具 如何在Azure中不同位置的两台虚拟机上运行客户端服务器程序? 你怎么能恢复php ini文件和.so文件到他们的原始configuration 由于邮件错误,Alfresco失败了吗? Linux IP别名无效 – Amazon EC2 一个局域网:两个(或更多)无线接入点? 收集和集中来自许多服务器的信息,有点像Puppet的facter Duplicity错误:BackendException:SSH连接到SERVER_IP:22失败:未知服务器SERVER_IP 一些启动脚本被忽略(在Debian 6.0上)

我如何logging用户的bash命令?

我正在运行一个debian蚀刻服务器,用户将通过SSHlogin(希望)一个chroot监狱。 我怎样才能让他们执行的命令以不能删除的方式login?

安装史努比 。 如果您只想logging一个用户,请执行一些系统日志过滤function。

我写了一个方法来logging所有的“bash”命令/内build的文本文件或“系统日志”服务器,而不使用补丁或特殊的可执行工具。

这是非常容易部署的,因为它是一个简单的shell脚本,需要在“bash”初始化时调用一次。 (只是'源'它来自.bashrc例如)它是基于使用bash DEBUG陷阱的想法。 请参阅superuser.com上的这篇文章 

declare -rx HISTCONTROL="" #does not ignore spaces or duplicates declare -rx HISTIGNORE="" #does not ignore patterns declare -rx AUDIT_LOGINUSER="$(who -mu | awk '{print $1}')" declare -rx AUDIT_LOGINPID="$(who -mu | awk '{print $6}')" declare -rx AUDIT_USER="$USER" #defined by pam during su/sudo declare -rx AUDIT_PID="$$" declare -rx AUDIT_TTY="$(who -mu | awk '{print $2}')" declare -rx AUDIT_SSH="$([ -n "$SSH_CONNECTION" ] && echo "$SSH_CONNECTION" | awk '{print $1":"$2"->"$3":"$4}')" declare -rx AUDIT_STR="[audit $AUDIT_LOGINUSER/$AUDIT_LOGINPID as $AUDIT_USER/$AUDIT_PID on $AUDIT_TTY/$AUDIT_SSH]" set +o functrace #disable trap DEBUG inherited in functions, command substitutions or subshells, normally the default setting already shopt -s extglob #enable extended pattern matching operators function audit_DEBUG() { if [ "$BASH_COMMAND" != "$PROMPT_COMMAND" ] #avoid logging unexecuted commands after 'ctrl-c or 'empty+enter' then local AUDIT_CMD="$(history 1)" #current history command if ! logger -p user.info -t "$AUDIT_STR $PWD" "${AUDIT_CMD##*( )?(+([0-9])[^0-9])*( )}" then echo error "$AUDIT_STR $PWD" "${AUDIT_CMD##*( )?(+([0-9])[^0-9])*( )}" fi fi } function audit_EXIT() { local AUDIT_STATUS="$?" logger -p user.info -t "$AUDIT_STR" "#=== bash session ended. ===" exit "$AUDIT_STATUS" } declare -fr +t audit_DEBUG declare -fr +t audit_EXIT logger -p user.info -t "$AUDIT_STR" "#=== New bash session started. ===" #audit the session openning #when a bash command is executed it launches first the audit_DEBUG(), #then the trap DEBUG is disabled to avoid a useless rerun of audit_DEBUG() during the execution of pipes-commands; #at the end, when the prompt is displayed, re-enable the trap DEBUG declare -rx PROMPT_COMMAND="trap 'audit_DEBUG; trap DEBUG' DEBUG" declare -rx BASH_COMMAND #current command executed by user or a trap declare -rx SHELLOPT #shell options, like functrace trap audit_EXIT EXIT

请参阅此处详细解释的方法: http : //blog.pointoftware.ch/index.php/howto-bash-audit-command-logger

欢呼弗朗索瓦Scheurer

你可以试试ttyrpld 。 这比你想要的要多,因为它会logging整个tty。
我没有使用它自己,但它的工作方式(在内核),使该用户不能改变日志。

您可以启用系统审计。

使用grsecurity补丁内核。 有一个内核选项完全是为了这个目的。

bash保存指定大小的命令历史logging。 你的pipe理员可以设置这个大小,并轻松地写一个脚本,并通过cron获取每个用户的历史logging。