Tôi muốn xem tất cả các lệnh bash đã được chạy trên máy chủ Linux trên nhiều tài khoản người dùng. Phân phối cụ thể tôi đang sử dụng là CentOS 5.7. Có cách nào để tìm kiếm trên toàn cầu file .bash_history trên máy chủ hoặc nó sẽ là một quá trình cây nhà lá vườn hơn locate | cat | grep? (Tôi rùng mình chỉ cần gõ nó ra).
Câu trả lời:
Sử dụng getentđể liệt kê các thư mục nhà.
getent passwd |
cut -d : -f 6 |
sed 's:$:/.bash_history:' |
xargs -d '\n' grep -s -H -e "$pattern"
Nếu thư mục nhà của bạn ở một vị trí nổi tiếng, nó có thể đơn giản như
grep -e "$pattern" /home/*/.bash_historyTất nhiên, nếu người dùng sử dụng vỏ khác hoặc giá trị khác HISTFILE, điều này sẽ không cho bạn biết nhiều. Điều này cũng sẽ không cho bạn biết về các lệnh không được thực thi thông qua trình bao, hoặc về bí danh và hàm và các lệnh bên ngoài đã bị xóa trong thư mục người dùng sớm trong người dùng $PATH. Nếu những gì bạn muốn biết là những lệnh nào người dùng đã chạy, bạn cần xử lý kế toán hoặc một số hệ thống kiểm toán fancier; xem Hoạt động giám sát trên máy tính của tôi. , Làm thế nào để kiểm tra một quá trình chạy sau bao lâu? .
getent passwd | cut -d : -f 6 | sed "s:$:/.bash_history:" | xargs -d'\n' -I{} sh -c "[ -f {} ] && echo {}" | xargs -d'\n' grep -Hn -e "$pattern"
{}như thế này rất nguy hiểm. Tên tệp được nội suy trực tiếp trong tập lệnh. Nếu bạn có một tên tệp (ở đây: tên người dùng) có chứa, giả sử, $(rm -rf /)hoặc ;rm -rf /;, lệnh sẽ được thực thi. Luôn chuyển tên tệp dưới dạng đối số cho tập lệnh shell, không bao giờ sử dụng {}cơ chế find hoặc xargs .
find /home -name .bash_history | xargs grep <string>Cách khác:
grep string $(find /home -name .bash_history)Lưu ý rằng điều này bao gồm các thư mục nhà ở vị trí mặc định. Nó sẽ tốt hơn để phân tích /etc/passwdhoặc gọi getent, và phân tích đầu ra của điều đó.
for i in $(getent passwd | cut -d: -f6 ); do grep string ${i}/.bash_history; done