मैं एक उपयोगकर्ता द्वारा निष्पादित प्रत्येक कमांड को कैसे लॉग कर सकता हूं?

मैं अपने सर्वर में सभी उपयोगकर्ता की गतिविधि की निगरानी करना चाहता हूं।

यहां तक ​​कि जब उपयोगकर्ता कुछ संपादक से शेल कमांड निष्पादित करता है जैसे विम मैं उन्हें लॉग फ़ाइल में देखना चाहता हूं।

मैंने टूल एक्ट की जाँच की है लेकिन यह पूरी कमांड को सूचीबद्ध नहीं कर रहा है। (कृपया मुझे सही करें अगर मैंने कुछ विकल्प खो दिए हैं जो पहले से ही है)।

इस समस्या को हल करने के लिए मुझे कौन सा लिनक्स टूल देखना चाहिए?

लॉगिन के लिए ज़िम्मेदार अपने pam config में इस पंक्ति को जोड़ें (इसके सिस्टम पर स्थित redhat आधारित डिस्ट्रोस)

session    required     pam_tty_audit.so enable=*

यह पता लगाने के लिए कि क्या किया गया था, आप उपयोग कर सकते हैं।

ausearch -ts <some_timestamp> -m tty -i

यह इस तरह एक उत्पादन का उत्पादन करता है:

 type=TTY msg=audit(11/30/2011 15:38:39.178:12763684) : tty pid=32377 uid=root
 auid=matthew major=136 minor=2 comm=bash data=<up>,<ret>

इसके लिए केवल नकारात्मक पक्ष यह है कि इसे पढ़ना थोड़ा मुश्किल हो सकता है, लेकिन यह सबसे प्रस्तावित समाधानों की तुलना में बहुत बेहतर है क्योंकि सिद्धांत रूप में इसका उपयोग पूरे सत्र को रिकॉर्ड करने के लिए किया जा सकता है, मौसा एन सभी।

संपादित करें: ओह और आप aureport का उपयोग सूची बनाने के लिए कर सकते हैं जो अधिक सहायक हो सकती है।

# aureport --tty
...
12. 11/30/2011 15:50:54 12764042 501 ? 4294967295 bash "d",<^D>
13. 11/30/2011 15:52:30 12764112 501 ? 4294967295 bash "aureport --ty",<ret>
14. 11/30/2011 15:52:31 12764114 501 ? 4294967295 bash <up>,<left>,<left>,"t",<ret>

आपकी समस्या का सबसे अच्छा समाधान लिनक्स का अंतर्निहित ऑडिट सिस्टम होगा। का प्रयोग करें man 8 auditdया अधिक जानकारी के लिए इस पेज की जाँच करें: http://linux.die.net/man/8/auditd ।

इसके अलावा, आप इस ट्यूटोरियल की जांच कर सकते हैं - जबकि यह आपके प्रश्न के दायरे से बाहर है, यह दिखाता है कि ऑडिट सिस्टम कैसे काम करता है।

आप स्नूपि का उपयोग कर सकते हैं ।

यह एक साधारण कमांड लॉगिंग लाइब्रेरी है, और एक उचित ऑडिट समाधान नहीं है (आसानी से परिवृत्त)। प्रकटीकरण: मैं वर्तमान स्नूपी मेंटेनर हूं।

एक कम ज्ञात चाल, लेकिन आसानी से सबसे भयानक सिर्फ अंतर्निहित ऑडिट क्षमताओं का उपयोग करना है sudo। एक sudoreplayकमांड के साथ सूडो जहाज, जो सत्र को फिर से शुरू करने को आसान बनाता है। यह भी रिले vimसत्र (जैसा कि आप सुझाव देते हैं)।

यहाँ कुछ आसान चरणों में इसका उपयोग करने का तरीका बताया गया है:

1. sudoshअपने सिस्टम पर स्थापित करें ; यह sudoकमांड के चारों ओर एक शेल रैपर है जो एक उपयोगकर्ता sudoको स्वयं बनाता है (नहीं root) और सिस्टम लॉगिन शेल के रूप में उपयोग किया जा सकता है

2. sudoलॉगिंग सक्षम करें । संपादित करें /etc/sudoers.d/sudosh: Defaults log_output Defaults!/usr/bin/sudoreplay !log_output Defaults!/sbin/reboot !log_output

3. /etc/shellsलॉगिन का उपयोग करने की अनुमति के लिए इस कमांड को जोड़ें : /usr/bin/sudosh

   युक्ति : उपयोगकर्ताओं को लॉगिन करने के लिए अन्य गोले का उपयोग करने से रोकने के लिए, उन अन्य गोले को हटा दें /etc/shells।

4. शेल foobarका उपयोग करने के लिए उपयोगकर्ता को अपडेट करें sudosh। chsh -s /usr/bin/sudosh foobar

अधिक विस्तृत जानकारी के लिए देखें: https://github.com/cloudposse/sudosh/

यहाँ एक जादुई समाधान है: http://www.cyberciti.biz/tips/howto-log-user-activity-using-process-accounting.html

• yum install psacct (redhat)
• sudo apt-get install एक्ट

आप उपयोगकर्ता आदेश / कनेक्शन आदि के बारे में आँकड़ा प्रदर्शित करते हैं।

किसी उपयोगकर्ता द्वारा आह्वान किए गए सभी आदेशों की सूची बनाएं ...

कमांड नाम से लेखांकन लॉग खोजें: $ lastcomm rm $ lastcomm passwd

और इतने पर, अधिक informations के लिए कृपया उपरोक्त लिंक पर जाएँ ..