Basta instalar o GNU Accounting ( acct para Debian / Ubuntu ou psacct para RedHat / CentOS) e use o comando lastcomm para rastrear todos os comandos executados por todos os seus usuários.
Se um usuário executar comandos remotamente por ssh:
[user@remote ~] $ ssh USERNAME@SERVER COMMANDS
Como o administrador SERVER pode registrar os COMMANDS executados em uma sessão "não tty"?
Além disso, quando um usuário invoca um novo shell ( running /bin/bash from existing bash shell ), os comandos executados nesse novo shell não são listados no histórico bash do usuário; Como registrar esses comandos?
Basta instalar o GNU Accounting ( acct para Debian / Ubuntu ou psacct para RedHat / CentOS) e use o comando lastcomm para rastrear todos os comandos executados por todos os seus usuários.
O SSH costumava ter uma opção chamada "fascist logging", esta opção parece ter desaparecido - essa opção poderia fazer o registro de digitação de teclas.
Agora, mesmo elevando o nível de registro para DEBUG3 para SSHD, NÃO será revelado os comandos.
Mas talvez a resposta à sua segunda pergunta também resolva a primeira. O mecanismo de anexação do histórico bash foi descrito na resposta aceita a esta pergunta .
Tags ssh