Como posso ver o histórico de comandos de outro usuário?
Eu sou um administrador na minha máquina. Eu posso ver o histórico normal visualizando /home/user_name/.bash_history , mas não consigo ver comandos desse user_name quando eles estavam fazendo sudo .
Existe uma maneira de visualizar todos os comandos executados por um usuário?
Em sistemas operacionais baseados em Debian, fazendo
%código%
deve fornecer o histórico de tail /var/log/auth.log | grep username de um usuário. Eu não acredito que haja uma maneira de obter um histórico de comando unificado dos comandos normal + sudo de um usuário.
Em sistemas operacionais baseados em RHEL, você precisaria verificar sudo em vez de /var/log/secure .
Testei o seguinte e funcionou como um encanto.
sudo vim /home/USER_YOU_WANT_TO_VIEW/.bash_history
Se o usuário emitiu um comando como em sudo somecommand , o comando aparecerá no log do sistema.
Se o usuário gerou um shell com, por exemplo, sudo -s , sudo su , sudo sh , etc, o comando may aparece no histórico do usuário root, ou seja, em /root/.bash_history ou similar.
Talvez este link tenha um valor para você : link
Mas você deve se lembrar que deixar nenhum rastreio no bash_history é apenas uma questão de iniciar um comando com um espaço etcpp. O histórico é um ajudante, não uma ferramenta de registro.
Saudações da Alemanha, Daniel Leschkowski
# zless /var/log/auth* é seu amigo aqui. Ele abre até os arquivos gzipados. Você pode pular entre aqueles com :n para a frente ou :p para trás.
Como alternativa, você pode usar # journalctl -f -l SYSLOG_FACILITY=10 , por exemplo. Leia mais sobre isso no Wiki do Arch Linux
A lógica se aplica a muitos outros objetivos.
E como ler o arquivo .sh_history de cada usuário em / home / filesystem? E se houver milhares deles?
#!/bin/ksh
last |head -10|awk '{print $1}'|
while IFS= read -r line
do
su - "$line" -c 'tail .sh_history'
done
Aqui é o script.