Come registrare tutti i comandi Bash di tutti gli utenti su un server?

La nostra piccola azienda gestisce un Ubuntu Server 11.10, a cui un paio di persone hanno accesso a SSH. A volte vengono utilizzati anche i terminali reali. Come possiamo registrare localmente tutti i comandi di Bash eseguiti, insieme all'utente e al timestamp?

Possiamo presumere che nessuno sia nefasto e cerchi attivamente di evitare la registrazione, ma preferiremmo comunque che gli utenti non avessero accesso diretto in scrittura ai loro file di registro. Le sessioni simultanee devono essere gestite correttamente.

Per le shell BASH, modifica il file di configurazione del runtime BASH a livello di sistema:

sudo -e /etc/bash.bashrc

Aggiungi alla fine di quel file:

export PROMPT_COMMAND='RETRN_VAL=$?;logger -p local6.debug "$(whoami) [$$]: $(history 1 | sed "s/^[ ]*[0-9]\+[ ]*//" ) [$RETRN_VAL]"'

Configurare la registrazione per "local6" con un nuovo file:

sudo -e /etc/rsyslog.d/bash.conf

E i contenuti ...

local6.*    /var/log/commands.log

Riavvia rsyslog:

sudo service rsyslog restart

Disconnettersi. Accedi. Voila!

Ma ho dimenticato la rotazione del registro:

sudo -e /etc/logrotate.d/rsyslog

C'è un elenco di file di registro da ruotare nello stesso modo ...

/var/log/mail.warn
/var/log/mail.err
[...]
/var/log/message

Quindi aggiungi il nuovo file di registro dei comandi bash in quell'elenco:

/var/log/commands.log

Salvare.

Un sistema di contabilità di processo può essere utile a questo proposito, in particolare l' acc pacchetto che fornisce i comandi lastcomm e ac.

I comandi ac stampano le statistiche sul tempo di connessione degli utenti, in ore. Questo è il periodo di tempo in cui l'utente è stato collegato al sistema, in remoto tramite SSH o un terminale seriale, o mentre si trova sulla console.

Il comando lastcomm visualizza informazioni sui comandi eseguiti in precedenza. Le voci più recenti sono riportate in cima all'elenco. Viene inoltre visualizzato il tempo totale della CPU utilizzato da ciascun processo.

Un vecchio tutorial che può essere utile è qui:

http://www.linuxjournal.com/article/6144?page=0,1

In questo tutorial è possibile trovare altri comandi di contabilità come l'ultimo e così via:

http://www.techrepublic.com/article/system-accounting-in-linux/1053377

Puoi usare snoopy .

Il logger Snoopy può adattarsi bene al tuo scopo. Non intende essere una soluzione di registrazione inevitabile, ma piuttosto uno strumento utile per gli amministratori diligenti che preferiscono tenere traccia delle proprie azioni.

Divulgazione: sono manutentore snoopy.

Puoi trovare qui uno script per registrare tutti i comandi / incorporati bash in un file di testo o in un syslog server senza usare una patch o uno speciale strumento eseguibile.

Molto facile da distribuire, in quanto è un semplice script di shell che deve essere chiamato una volta all'inizializzazione di bash .

È gratuito e spero che soddisfi le tue esigenze.

Per occuparti di più sessioni senza sovrascrivere il file della cronologia, dovrai inserire "shopt -s histappend" in un file di avvio di Bash. Vedi, anche questa domanda sullo stesso problema.

prova questo (le soluzioni sopra non funzioneranno al 100% con bash 4.3):

export HISTTIMEFORMAT="%Y-%m-%d %T "
export PROMPT_COMMAND='trap "" 1 2 15; history -a >(tee -a ~/.bash_history | while read line; do if [[ $line =~ ^#[0-9]*$ ]]; then continue; fi; logger -p user.info -t "bash[$$]" "($USER) $line"; done); trap 1 2 15;'

questo fa la registrazione E impedisce la registrazione di timestamp usati per il file della cronologia di bash. la trappola è necessaria, poiché bash invierà i segnali al "subjob" dopo aver premuto più volte strg + c (testato con bash 4.3). questo forzerà la disconnessione dell'utente corrente (es. accesso con sudo)

Puoi anche provare a installare acct. Acct mantiene una traccia di controllo dettagliata di ciò che viene fatto sui tuoi sistemi Linux.

sudo apt-get install acct