Công ty nhỏ của chúng tôi chạy Ubuntu Server 11.10, mà một vài người có quyền truy cập SSH. Các thiết bị đầu cuối thực tế đôi khi cũng được sử dụng. Làm thế nào chúng ta có thể đăng nhập cục bộ tất cả các lệnh Bash chạy, cùng với dấu thời gian và người dùng?
Chúng tôi có thể cho rằng không ai là bất chính và chủ động cố gắng tránh đăng nhập, nhưng chúng tôi vẫn muốn người dùng không có quyền truy cập ghi trực tiếp vào tệp nhật ký của họ. Các phiên đồng thời phải được xử lý chính xác.
Câu trả lời:
Đối với shell BASH, hãy chỉnh sửa tệp cấu hình thời gian chạy BASH trên toàn hệ thống:
sudo -e /etc/bash.bashrcNối vào cuối tập tin đó:
export PROMPT_COMMAND='RETRN_VAL=$?;logger -p local6.debug "$(whoami) [$$]: $(history 1 | sed "s/^[ ]*[0-9]\+[ ]*//" ) [$RETRN_VAL]"'Thiết lập ghi nhật ký cho "local6" với một tệp mới:
sudo -e /etc/rsyslog.d/bash.confVà nội dung ...
local6.* /var/log/commands.logKhởi động lại rsyslog:
sudo service rsyslog restartĐăng xuất. Đăng nhập. Voila!
Nhưng tôi quên mất vòng quay log:
sudo -e /etc/logrotate.d/rsyslogCó một danh sách các tệp nhật ký để xoay theo cùng một cách ...
/var/log/mail.warn
/var/log/mail.err
[...]
/var/log/messageVì vậy, thêm tệp nhật ký bash-lệnh mới trong danh sách đó:
/var/log/commands.logTiết kiệm.
PROMPT_COMMANDthực thi vào trình bao không bash.
Một hệ thống kế toán quy trình có thể hữu ích trong vấn đề này, đặc biệt là gói acct cung cấp các lệnh ac và Lastcomm.
Các lệnh ac in ra số liệu thống kê về thời gian kết nối của người dùng, tính bằng giờ. Đây là lượng thời gian mà người dùng đã được kết nối với hệ thống, từ xa thông qua SSH hoặc thiết bị đầu cuối nối tiếp hoặc trong khi trên bảng điều khiển.
Lệnh lastcomm hiển thị thông tin về các lệnh đã thực hiện trước đó. Các mục gần đây nhất được đưa ra ở đầu danh sách. Cũng hiển thị là tổng thời gian CPU mà mỗi quá trình sử dụng.
Một hướng dẫn cũ có thể hữu ích là ở đây:
http://www.linuxjournal.com/article/6144?page=0,1
Các lệnh kế toán khác như cuối cùng và vv có thể được tìm thấy trong hướng dẫn này:
http://www.techrepublic.com/article/system-accounting-in-linux/1053377
Bạn có thể sử dụng snoopy .
Snoopy logger có thể phù hợp với mục đích của bạn. Đây không phải là giải pháp ghi nhật ký không thể tránh khỏi, mà là một công cụ hữu ích cho các quản trị viên siêng năng, những người thích theo dõi hành động của chính họ.
Tiết lộ: Tôi là người duy trì snoopy.
Bạn có thể tìm thấy ở đây một tập lệnh để ghi nhật ký tất cả các lệnh bash / dựng sẵn vào tệp văn bản hoặc máy chủ nhật ký hệ thống mà không cần sử dụng bản vá hoặc công cụ thực thi đặc biệt.
Rất dễ triển khai, vì nó là một tập lệnh shell đơn giản cần được gọi một lần khi khởi tạo bash .
Nó là miễn phí và tôi hy vọng nó phù hợp với nhu cầu của bạn.
Để đảm bảo nhiều phiên không ghi quá nhiều tệp lịch sử, bạn sẽ phải đặt "shopt -s histappend" trong tệp khởi động Bash. Xem, câu hỏi này về cùng một vấn đề.
hãy thử điều này (các giải pháp trên sẽ không hoạt động 100% với bash 4.3):
export HISTTIMEFORMAT="%Y-%m-%d %T "
export PROMPT_COMMAND='trap "" 1 2 15; history -a >(tee -a ~/.bash_history | while read line; do if [[ $line =~ ^#[0-9]*$ ]]; then continue; fi; logger -p user.info -t "bash[$$]" "($USER) $line"; done); trap 1 2 15;'điều này không ghi nhật ký VÀ nó ngăn chặn ghi nhật ký dấu thời gian được sử dụng cho tệp lịch sử bash. cái bẫy là cần thiết, vì bash sẽ gửi tín hiệu đến "subjob" sau khi nhấn strg + c nhiều lần (đã thử với bash 4.3). điều này sẽ buộc đăng xuất của người dùng hiện tại (ví dụ: đăng nhập bằng sudo)