Як реєструвати всі команди Bash усіма користувачами на сервері?

Наша маленька компанія працює з Ubuntu Server 11.10, до якого пара людей має доступ до SSH. Іноді використовуються і фактичні термінали. Як ми можемо локально ввімкнути всі запущені Bash команди разом із печаткою користувача та часу?

Можна припустити, що ніхто не підходить і активно намагається уникати журналу, але ми все-таки вважаємо за краще, щоб користувачі не мали прямого доступу на запис до своїх журнальних файлів. Одночасні сеанси повинні проводитися правильно.

Для оболонок BASH відредагуйте системний конфігураційний файл BASH для виконання:

sudo -e /etc/bash.bashrc

Додайте до кінця цього файлу:

export PROMPT_COMMAND='RETRN_VAL=$?;logger -p local6.debug "$(whoami) [$$]: $(history 1 | sed "s/^[ ]*[0-9]\+[ ]*//" ) [$RETRN_VAL]"'

Налаштуйте журнал для "local6" за допомогою нового файлу:

sudo -e /etc/rsyslog.d/bash.conf

І вміст ...

local6.*    /var/log/commands.log

Перезапустіть rsyslog:

sudo service rsyslog restart

Вийти. Увійти. Voila!

Але я забув про обертання журналу:

sudo -e /etc/logrotate.d/rsyslog

Є список журнальних файлів, які можна обертати так само ...

/var/log/mail.warn
/var/log/mail.err
[...]
/var/log/message

Тому додайте новий файл журналу bash-command у цей список:

/var/log/commands.log

Зберегти.

У цьому відношенні може бути корисна система обліку процесів, особливо пакет acct, який забезпечує команди lastcomm та ac.

Команди змінного струму виводить статистику про час підключення користувачів у години. Це кількість часу, який користувач підключив до системи, віддалено через SSH або послідовний термінал, або перебуваючи на консолі.

Команда lastcomm відображає інформацію про виконані раніше команди. Останні записи наведені вгорі списку. Також відображається загальна кількість часу процесора, який використовував кожен процес.

Старий підручник, який може бути корисним, тут:

http://www.linuxjournal.com/article/6144?page=0,1

Інші команди бухгалтерського обліку, як останній тощо, можна знайти в цьому підручнику:

http://www.techrepublic.com/article/system-accounting-in-linux/1053377

Ви можете використовувати snoopy .

Snoopy реєстратор може добре відповідати вашим цілям. Він не призначений для неминучого рішення для ведення журналів, а корисним інструментом для старанних адміністраторів, які вважають за краще слідкувати за своїми діями.

Розкриття: Я супроводжувач снупи.

Ви можете знайти тут скрипт для входу все Баш команди / вбудованих модулів в текстовому файл або системний журнал сервер без використання патча або спеціальний виконуваного інструменту.

Дуже просто розгортати, оскільки це простий скрипт оболонки, який потрібно викликати один раз при ініціалізації bash .

Це безкоштовно, і я сподіваюся, що він відповідає вашим потребам.

Щоб подбати про кілька сеансів, щоб не переписати файл історії, вам доведеться помістити "shopt -s histappend" у файл запуску Bash. Дивіться, також це питання з тієї ж проблеми.

спробуйте це (рішення, наведені вище, не працюватимуть 100% з bash 4.3):

export HISTTIMEFORMAT="%Y-%m-%d %T "
export PROMPT_COMMAND='trap "" 1 2 15; history -a >(tee -a ~/.bash_history | while read line; do if [[ $line =~ ^#[0-9]*$ ]]; then continue; fi; logger -p user.info -t "bash[$$]" "($USER) $line"; done); trap 1 2 15;'

це робить журнал І запобігає реєстрації часових позначок, які використовуються для файлу історії bash. пастка потрібна, оскільки bash буде надсилати сигнали до "підзадачі" після натискання strg + c кілька разів (перевірено з bash 4.3). це змусить вийти з поточного користувача (наприклад, увійшов за допомогою sudo)

Ви також можете спробувати встановити acct. Acct зберігає детальний слід аудиту того, що робиться у ваших системах Linux.

sudo apt-get install acct