Как записать все команды Bash всеми пользователями на сервере?

Наша небольшая компания использует Ubuntu Server 11.10, к которому пару человек имеют доступ по SSH. Иногда используются и фактические терминалы. Как мы можем локально регистрировать все выполняемые команды Bash вместе с пользователем и отметкой времени?

Можно предположить, что никто не является гнусным и активно пытается избежать регистрации, но мы все же предпочли бы, чтобы пользователи не имели прямого доступа на запись к своим файлам журнала. Одновременные сеансы должны быть обработаны правильно.

Для оболочек BASH отредактируйте общесистемный файл конфигурации среды выполнения BASH:

sudo -e /etc/bash.bashrc

Добавьте в конец этого файла:

export PROMPT_COMMAND='RETRN_VAL=$?;logger -p local6.debug "$(whoami) [$$]: $(history 1 | sed "s/^[ ]*[0-9]\+[ ]*//" ) [$RETRN_VAL]"'

Настройте ведение журнала для "local6" с новым файлом:

sudo -e /etc/rsyslog.d/bash.conf

И содержание ...

local6.*    /var/log/commands.log

Перезапустите rsyslog:

sudo service rsyslog restart

Выйти. Войти. Вуаля!

Но я забыл про ротацию логов:

sudo -e /etc/logrotate.d/rsyslog

Есть список файлов журналов, чтобы вращаться так же ...

/var/log/mail.warn
/var/log/mail.err
[...]
/var/log/message

Поэтому добавьте новый файл журнала команд bash в этот список:

/var/log/commands.log

Сохранить.

Система учета процессов может быть полезна в этом отношении, особенно пакет acct , который предоставляет команды lastcomm и ac.

Команды ac выводят статистику о времени подключения пользователей в часах. Это количество времени, которое пользователь был подключен к системе, либо удаленно через SSH или последовательный терминал, либо находясь на консоли.

Команда lastcomm отображает информацию о ранее выполненных командах. Самые последние записи приведены вверху списка. Также отображается общее количество процессорного времени, используемого каждым процессом.

Старый учебник, который может быть полезен, находится здесь:

http://www.linuxjournal.com/article/6144?page=0,1

Другие команды учета, такие как last и так далее, можно найти в этом уроке:

http://www.techrepublic.com/article/system-accounting-in-linux/1053377

Вы могли бы использовать Snoopy .

Snoopy logger может удовлетворить ваши цели. Он не является неизбежным решением для ведения журнала, а скорее полезным инструментом для прилежных администраторов, которые предпочитают отслеживать свои собственные действия.

Раскрытие информации: я любопытный сопровождающий.

Вы можете найти здесь скрипт для входа все Баш команды / встроенных модулей в текстовом файл или системный журнал сервер без использования патча или специальный исполняемого инструмента.

Очень прост в развертывании, так как это простой сценарий оболочки, который нужно вызывать один раз при инициализации bash .

Это бесплатно, и я надеюсь, что это соответствует вашим потребностям.

Чтобы позаботиться о нескольких сеансах, не перезаписывая файл истории, вы должны будете поместить «shopt -s histappend» в файл запуска Bash. Смотрите также этот вопрос по той же проблеме.

Попробуйте это (решения выше не будут работать на 100% с Bash 4.3):

export HISTTIMEFORMAT="%Y-%m-%d %T "
export PROMPT_COMMAND='trap "" 1 2 15; history -a >(tee -a ~/.bash_history | while read line; do if [[ $line =~ ^#[0-9]*$ ]]; then continue; fi; logger -p user.info -t "bash[$$]" "($USER) $line"; done); trap 1 2 15;'

это делает регистрацию И предотвращает регистрацию меток времени, которые используются для файла истории bash. ловушка необходима, так как bash отправит сигналы «subjob» после многократного нажатия strg + c (протестировано с bash 4.3). это приведет к выходу из системы текущего пользователя (например, вошел в систему с помощью sudo)

Вы также можете попробовать установить acct. Acct ведет подробный журнал аудита того, что делается в ваших системах Linux.

sudo apt-get install acct