Come puoi registrare ogni comando che qualcuno ha inserito nella shell?
Te lo chiedo sia per proteggerti se sei connesso al server di qualcun altro e qualcosa si rompe, o se qualcun altro è connesso al tuo server (intenzionalmente o maliziosamente).
Anche un principiante può ignorare la cronologia con unset history
oppure crea una nuova shell per nascondere le loro tracce.
Sono curioso di sapere come gli amministratori senior di Linux tengono traccia di quali comandi sono stati immessi/modifiche apportate al sistema.
Risposta accettata:
Dai un'occhiata a audit. Se aggiungi
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
a /etc/audit/audit.rules
tutti i comandi eseguiti verranno registrati. Vedi:http://whmcr.com/2011/10/14/auditd-logging-all-commands/
Quindi invialo a un server syslog.