Se o usuário não estiver intencionalmente ocultando sua atividade, algo assim funcionaria?:
cat ~/.bash_history | grep "name_of_command"
Ou
cat /home/user_name_here/.bash_history | grep search_string
Embora possa ser uma solução melhor para ativar a auditoria TTY do PAM (Pluggable Authentication Modules): pam_tty_audit.8
Instale auditd
(nota: certifique-se de que o servidor ssh esteja instalado) e reinicie:
sudo apt-get install auditd && sudo reboot
Remova qualquer pam_tty_audit:
sed '/pam_tty_audit.so disable=/d' /etc/pam.d/sshd
Anexar sequência de ativação aos arquivos de configuração pam.d:
sudo sh -c "echo 'session required pam_tty_audit.so enable=*' >> /etc/pam.d/sshd"
Iniciar o auditd:
sudo service auditd status
Se não estiver em execução:
sudo service auditd start
E grep tty report para um usuário UID:
sudo aureport --tty | grep $(id -u username_here)
Leitura relacionada: