"वेनिला" (कोई अतिरिक्त सॉफ़्टवेयर डाउनलोड नहीं किया गया) में आपको एक स्क्रिप्ट लिखनी होगी जो /var/log/auth.log फ़ाइल पर नज़र रखती है। जब भी कोई उपयोगकर्ता रूट या किसी अन्य उपयोगकर्ता बनने के लिए "सु" का उपयोग करता है, तो उनके यूआईडी के साथ एक प्रविष्टि यहां की जाती है:
Apr 24 04:32:57 Hostname sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
इससे आपको पता चल जाएगा कि कौन रूट हुआ और कब बना। तब आप प्रत्येक व्यक्तिगत उपयोगकर्ताओं के बैश इतिहास (/home/user/.bash_history पर होम डायरेक्टरी में संग्रहीत) के माध्यम से पार्स करने में सक्षम होंगे। अंत में आपकी स्क्रिप्ट कुछ इस तरह दिखाई देगी।
for name in $(awk --field-separator=":" '{print $1}' /etc/passwd); do echo $name >> /var/log/report; cat /home/$name/.bash_history | grep -i "apt install" >> /var/log/report; done
आप आसानी से बस "सुडो" को "सुडो" से बदल सकते हैं ताकि सूडो कमांड के सभी उदाहरण देखे जा सकें, लेकिन यह स्क्रिप्ट आपको यह देखने में समय की बचत करेगी कि कौन से प्रोग्राम इंस्टॉल किए गए हैं। यदि वे रूट बनने के लिए "सु" का उपयोग कर रहे थे, तो आपको उसे टाइमस्टैम्प और UID के लिए टाई करने के अतिरिक्त चरण को रखने की आवश्यकता होगी। जब तक आपके देवों के पास वह पहुंच नहीं है और वे केवल सूडो को ही चला सकते हैं, तब तक यह आवश्यक नहीं होना चाहिए (लेकिन यह सब सपाट हो जाता है यदि आपका कोई देवता उनके इतिहास को संशोधित करता है)
पूरे / आदि निर्देशिका की निगरानी के लिए, मेरी सिफारिश टाइमस्टैम्प पर स्पष्ट रूप से देखने के लिए होगी। जब भी किसी फ़ाइल पर संशोधन किया जाता है (कुछ वास्तव में बदल जाता है / फ़ाइल लिखी जाती है), टाइमस्टैम्प ls -l
अपडेट हो जाता है:
-rw------- 1 user user 32500 Apr 24 04:25 .bash_history
इसके लिए स्क्रिप्ट थोड़ी अधिक जटिल होगी, क्योंकि इसमें निर्देशिकाओं के माध्यम से पुनरावृत्ति करने की आवश्यकता होगी, इसके लिए तर्क को शामिल करने के लिए यह निर्धारित करना भी आवश्यक है कि क्या कोई आइटम एक निर्देशिका है। एक तरफ पुनरावृत्ति, हालांकि, यह एल-एस आउटपुट के 6,7,8 क्षेत्रों को देख रहा है, आदर्श रूप से दिन के अंत में एक बार चल रहा है, और यह देख रहा है कि क्या टाइमस्टैम्प दिन की तारीख के बराबर है। यदि ऐसा है, तो यह नीचे लिखा होगा कि कौन सी फाइलें बदली गईं या बनाई गईं।
apt
,apt-get
औरdpkg
अपने अधिकांश लक्ष्यों को पूरा करने के लिए।