AskOverflow.Dev

AskOverflow.Dev Logo AskOverflow.Dev Logo

AskOverflow.Dev Navigation

  • 主页
  • 系统&网络
  • Ubuntu
  • Unix
  • DBA
  • Computer
  • Coding
  • LangChain

Mobile menu

Close
  • 主页
  • 系统&网络
    • 最新
    • 热门
    • 标签
  • Ubuntu
    • 最新
    • 热门
    • 标签
  • Unix
    • 最新
    • 标签
  • DBA
    • 最新
    • 标签
  • Computer
    • 最新
    • 标签
  • Coding
    • 最新
    • 标签
主页 / server / 问题 / 40011
Accepted
Malfist
Malfist
Asked: 2009-07-14 09:46:29 +0800 CST2009-07-14 09:46:29 +0800 CST 2009-07-14 09:46:29 +0800 CST

如何记录用户的 bash 命令?

  • 772

我正在运行一个 debian etch 服务器,用户将通过 ssh 登录(希望)一个 chroot 监狱。我怎样才能以他们无法删除或阻止的方式记录他们执行的命令?

debian security
  • 6 6 个回答
  • 8207 Views

6 个回答

  • Voted
  1. Best Answer
    Cian
    2009-07-14T10:02:19+08:002009-07-14T10:02:19+08:00

    安装史努比。如果您只想记录一个用户,请执行一些系统日志过滤功能。

    • 11
  2. Francois Scheurer
    2012-06-07T03:25:25+08:002012-06-07T03:25:25+08:00

    我编写了一种方法,无需使用补丁或特殊的可执行工具即可将所有“bash”命令/内置命令记录到文本文件或“syslog”服务器中。

    它很容易部署,因为它是一个简单的 shellscript,需要在 'bash' 初始化时调用一次。(例如,只是从 .bashrc 中“获取”它)它基于使用 bash DEBUG 陷阱的想法。另请参阅superuser.com 上的这篇文章

    declare -rx HISTCONTROL=""                                  #does not ignore spaces or duplicates
    declare -rx HISTIGNORE=""                                   #does not ignore patterns
    declare -rx AUDIT_LOGINUSER="$(who -mu | awk '{print $1}')"
    declare -rx AUDIT_LOGINPID="$(who -mu | awk '{print $6}')"
    declare -rx AUDIT_USER="$USER"                              #defined by pam during su/sudo
    declare -rx AUDIT_PID="$$"
    declare -rx AUDIT_TTY="$(who -mu | awk '{print $2}')"
    declare -rx AUDIT_SSH="$([ -n "$SSH_CONNECTION" ] && echo "$SSH_CONNECTION" | awk '{print $1":"$2"->"$3":"$4}')"
    declare -rx AUDIT_STR="[audit $AUDIT_LOGINUSER/$AUDIT_LOGINPID as $AUDIT_USER/$AUDIT_PID on $AUDIT_TTY/$AUDIT_SSH]"
    set +o functrace                                            #disable trap DEBUG inherited in functions, command substitutions or subshells, normally the default setting already
    shopt -s extglob                                            #enable extended pattern matching operators
    function audit_DEBUG() {
      if [ "$BASH_COMMAND" != "$PROMPT_COMMAND" ]               #avoid logging unexecuted commands after 'ctrl-c or 'empty+enter'
      then
        local AUDIT_CMD="$(history 1)"                          #current history command
        if ! logger -p user.info -t "$AUDIT_STR $PWD" "${AUDIT_CMD##*( )?(+([0-9])[^0-9])*( )}"
        then
          echo error "$AUDIT_STR $PWD" "${AUDIT_CMD##*( )?(+([0-9])[^0-9])*( )}"
        fi
      fi
    }
    function audit_EXIT() {
      local AUDIT_STATUS="$?"
      logger -p user.info -t "$AUDIT_STR" "#=== bash session ended. ==="
      exit "$AUDIT_STATUS"
    }
    declare -fr +t audit_DEBUG
    declare -fr +t audit_EXIT
    logger -p user.info -t "$AUDIT_STR" "#=== New bash session started. ===" #audit the session openning
    #when a bash command is executed it launches first the audit_DEBUG(),
    #then the trap DEBUG is disabled to avoid a useless rerun of audit_DEBUG() during the execution of pipes-commands;
    #at the end, when the prompt is displayed, re-enable the trap DEBUG
    declare -rx PROMPT_COMMAND="trap 'audit_DEBUG; trap DEBUG' DEBUG"
    declare -rx BASH_COMMAND                                    #current command executed by user or a trap
    declare -rx SHELLOPT                                        #shell options, like functrace
    trap audit_EXIT EXIT  
    

    请参阅此处详细说明的方法:http: //blog.pointsoftware.ch/index.php/howto-bash-audit-command-logger

    欢呼弗朗索瓦·舒勒

    • 4
  3. radius
    2009-07-14T09:52:36+08:002009-07-14T09:52:36+08:00

    你可以试试ttyrpld。它比你想要的要多,因为它会记录整个 tty。
    我自己没有使用过它,但它的工作方式(在内核中)使该用户无法更改日志。

    • 2
  4. cstamas
    2009-07-14T10:40:33+08:002009-07-14T10:40:33+08:00

    使用grsecurity补丁内核。为此目的,有一个内核选项。

    • 0
  5. Geoff Fritz
    2009-07-14T10:03:53+08:002009-07-14T10:03:53+08:00

    您可以启用系统审核。

    • -1
  6. Recursion
    2009-07-14T10:35:08+08:002009-07-14T10:35:08+08:00

    bash 保留指定大小的命令历史记录。您管理员可以设置该大小,并轻松编写一个脚本,该脚本通过 cron 获取每个用户的历史记录。

    • -3

相关问题

  • 如何启用与 SQL Server 实例的加密连接?

  • 我应该如何将 debian/xen 机器从 etch 升级到 lenny

  • 从多个位置保护远程服务器/工具访问的最佳方法是什么?

  • 在 SOHO 环境中实施的最佳 VPN 技术是什么?[关闭]

  • 保护新的 Ubuntu 服务器 [关闭]

Sidebar

Stats

  • 问题 205573
  • 回答 270741
  • 最佳答案 135370
  • 用户 68524
  • 热门
  • 回答
  • Marko Smith

    SFTP 使用什么端口?

    • 6 个回答
  • Marko Smith

    从 IP 地址解析主机名

    • 8 个回答
  • Marko Smith

    如何按大小对 du -h 输出进行排序

    • 30 个回答
  • Marko Smith

    命令行列出 Windows Active Directory 组中的用户?

    • 9 个回答
  • Marko Smith

    Windows 中执行反向 DNS 查找的命令行实用程序是什么?

    • 14 个回答
  • Marko Smith

    如何检查 Windows 机器上的端口是否被阻塞?

    • 4 个回答
  • Marko Smith

    我应该打开哪个端口以允许远程桌面?

    • 9 个回答
  • Marko Smith

    什么是 Pem 文件,它与其他 OpenSSL 生成的密钥文件格式有何不同?

    • 3 个回答
  • Marko Smith

    如何确定bash变量是否为空?

    • 15 个回答
  • Martin Hope
    MikeN 在 Nginx 中,如何在维护子域的同时将所有 http 请求重写为 https? 2009-09-22 06:04:43 +0800 CST
  • Martin Hope
    Tom Feiner 如何按大小对 du -h 输出进行排序 2009-02-26 05:42:42 +0800 CST
  • Martin Hope
    0x89 bash中的双方括号和单方括号有什么区别? 2009-08-10 13:11:51 +0800 CST
  • Martin Hope
    kch 如何更改我的私钥密码? 2009-08-06 21:37:57 +0800 CST
  • Martin Hope
    Kyle Brandt IPv4 子网如何工作? 2009-08-05 06:05:31 +0800 CST
  • Martin Hope
    Noah Goodrich 什么是 Pem 文件,它与其他 OpenSSL 生成的密钥文件格式有何不同? 2009-05-19 18:24:42 +0800 CST
  • Martin Hope
    Brent 如何确定bash变量是否为空? 2009-05-13 09:54:48 +0800 CST
  • Martin Hope
    cletus 您如何找到在 Windows 中打开文件的进程? 2009-05-01 16:47:16 +0800 CST

热门标签

linux nginx windows networking ubuntu domain-name-system amazon-web-services active-directory apache-2.4 ssh

Explore

  • 主页
  • 问题
    • 最新
    • 热门
  • 标签
  • 帮助

Footer

AskOverflow.Dev

关于我们

  • 关于我们
  • 联系我们

Legal Stuff

  • Privacy Policy

Language

  • Pt
  • Server
  • Unix

© 2023 AskOverflow.DEV All Rights Reserve