Se um usuário estiver usando bash
, você poderá adicionar ao seu /etc/bash.bashrc
:
readonly PROMPT_COMMAND='history -a >(logger -t "commandlog $USER[$PWD] $SSH_CONNECTION")'
Isso registrará todos os comandos do usuário no syslog.
Eu configuraria syslog
para encaminhar os logs para um servidor syslog central bloqueado, portanto, no caso de hacking ou de um administrador de sistemas nocivo, eles não seriam capazes de adulterar evidências.