Як я можу зареєструвати bash команди користувачів?

Я запускаю Debian-сервер etch, де користувачі будуть входити (сподіваємось) в'язницю chroot через ssh. Як я можу, щоб команди, які вони виконують, були записані таким чином, щоб вони не могли видалити і не запобігти?

встановити snoopy . Якщо ви хочете зареєструвати лише одного користувача, виконайте кілька функцій фільтрації системного журналу.

Я написав метод для реєстрації всіх команд / вбудованих файлів 'bash' у текстовий файл або на сервері 'syslog', не використовуючи патч або спеціальний виконуваний інструмент.

Розгортати це дуже просто, оскільки це простий оболонка оболонки, яку потрібно викликати один раз при ініціалізації "bash". (просто "джерело" його, наприклад, .bashrc) Він заснований на ідеї використання bash DEBUG пасток. Дивіться також цю публікацію на superuser.com

declare -rx HISTCONTROL=""                                  #does not ignore spaces or duplicates
declare -rx HISTIGNORE=""                                   #does not ignore patterns
declare -rx AUDIT_LOGINUSER="$(who -mu | awk '{print $1}')"
declare -rx AUDIT_LOGINPID="$(who -mu | awk '{print $6}')"
declare -rx AUDIT_USER="$USER"                              #defined by pam during su/sudo
declare -rx AUDIT_PID="$$"
declare -rx AUDIT_TTY="$(who -mu | awk '{print $2}')"
declare -rx AUDIT_SSH="$([ -n "$SSH_CONNECTION" ] && echo "$SSH_CONNECTION" | awk '{print $1":"$2"->"$3":"$4}')"
declare -rx AUDIT_STR="[audit $AUDIT_LOGINUSER/$AUDIT_LOGINPID as $AUDIT_USER/$AUDIT_PID on $AUDIT_TTY/$AUDIT_SSH]"
set +o functrace                                            #disable trap DEBUG inherited in functions, command substitutions or subshells, normally the default setting already
shopt -s extglob                                            #enable extended pattern matching operators
function audit_DEBUG() {
  if [ "$BASH_COMMAND" != "$PROMPT_COMMAND" ]               #avoid logging unexecuted commands after 'ctrl-c or 'empty+enter'
  then
    local AUDIT_CMD="$(history 1)"                          #current history command
    if ! logger -p user.info -t "$AUDIT_STR $PWD" "${AUDIT_CMD##*( )?(+([0-9])[^0-9])*( )}"
    then
      echo error "$AUDIT_STR $PWD" "${AUDIT_CMD##*( )?(+([0-9])[^0-9])*( )}"
    fi
  fi
}
function audit_EXIT() {
  local AUDIT_STATUS="$?"
  logger -p user.info -t "$AUDIT_STR" "#=== bash session ended. ==="
  exit "$AUDIT_STATUS"
}
declare -fr +t audit_DEBUG
declare -fr +t audit_EXIT
logger -p user.info -t "$AUDIT_STR" "#=== New bash session started. ===" #audit the session openning
#when a bash command is executed it launches first the audit_DEBUG(),
#then the trap DEBUG is disabled to avoid a useless rerun of audit_DEBUG() during the execution of pipes-commands;
#at the end, when the prompt is displayed, re-enable the trap DEBUG
declare -rx PROMPT_COMMAND="trap 'audit_DEBUG; trap DEBUG' DEBUG"
declare -rx BASH_COMMAND                                    #current command executed by user or a trap
declare -rx SHELLOPT                                        #shell options, like functrace
trap audit_EXIT EXIT  

див. детально описаний метод тут: http://blog.pointsoftware.ch/index.php/howto-bash-audit-command-logger

вітає Франсуа Шеюрер

Ви можете спробувати ttyrpld . Це більше, ніж ви хочете, тому що він запише цілий tty.
Я сам його не використовував, але спосіб його роботи (в ядрі) дозволяє користувачеві не змінювати журнали.

Використовуйте виправлене ядро грузобезпеки . Існує варіант ядра саме для цієї мети.

Ви можете активувати системний аудит.

bash зберігає історію команд заданого розміру. Ви, адміністратор, можете встановити цей розмір і легко написати сценарій, який надходить та витягує цю історію на кожного користувача через cron.