全てのコマンド履歴を残す2011/05/07 |
|
acctonで全てのコマンド履歴を残します。
コマンド履歴は各々のユーザーの history にも残りますが、それらはユーザー自身で変更や削除ができてしまいます。
よって、管理者権限のみアクセス可能な履歴を別途取得し、何かあったときに追跡しやすいようにします。
ただし、ログにはコマンドのみで、引数までは記録されないので、これだけでは、
誰がいつ何をしたか?の特定は不可能です。inotifyのログ等と合わせてみれば少しはマシになるかもしれません。
|
|
| [1] | accton は psacct パッケージに含まれます。インストールされていない場合はインストールしてください。 |
|
[root@dlp ~]# yum -y install psacct
|
| [2] | psacctの起動は以下のようにするだけです。これにより全てのコマンド履歴が残ります。 |
|
[root@dlp ~]# /etc/rc.d/init.d/psacct start Starting process accounting: [ OK ] [root@dlp ~]# chkconfig psacct on
|
| [3] | コマンド履歴のログはバイナリファイルとなっているので、専用のコマンドで内容を出力します。 |
|
[root@dlp ~]# lastcomm bash S fermi ttyS0 0.01 secs Sat May 7 21:29 id fermi ttyS0 0.00 secs Sat May 7 21:29 bash F fermi ttyS0 0.00 secs Sat May 7 21:29 consoletype fermi ttyS0 0.00 secs Sat May 7 21:29 bash F fermi ttyS0 0.00 secs Sat May 7 21:29 dircolors fermi ttyS0 0.00 secs Sat May 7 21:29 bash F fermi ttyS0 0.00 secs Sat May 7 21:29 tput fermi ttyS0 0.00 secs Sat May 7 21:29 tty fermi ttyS0 0.00 secs Sat May 7 21:29 bash F fermi ttyS0 0.00 secs Sat May 7 21:29 hostname fermi ttyS0 0.00 secs Sat May 7 21:29 bash F fermi ttyS0 0.00 secs Sat May 7 21:29 id fermi ttyS0 0.00 secs Sat May 7 21:29 lastcomm root ttyS0 0.00 secs Sat May 7 21:29 chkconfig root ttyS0 0.00 secs Sat May 7 21:29 psacct root ttyS0 0.00 secs Sat May 7 21:28 touch root ttyS0 0.00 secs Sat May 7 21:28 accton S root ttyS0 0.00 secs Sat May 7 21:28 |
| [4] | ユーザーを指定する場合は「--user」オプションをつけます。 |
|
[root@dlp ~]# lastcomm --user fermi bash S fermi ttyS0 0.01 secs Sat May 7 21:29 id fermi ttyS0 0.00 secs Sat May 7 21:29 bash F fermi ttyS0 0.00 secs Sat May 7 21:29 consoletype fermi ttyS0 0.00 secs Sat May 7 21:29 bash F fermi ttyS0 0.00 secs Sat May 7 21:29 dircolors fermi ttyS0 0.00 secs Sat May 7 21:29 bash F fermi ttyS0 0.00 secs Sat May 7 21:29 tput fermi ttyS0 0.00 secs Sat May 7 21:29 tty fermi ttyS0 0.00 secs Sat May 7 21:29 bash F fermi ttyS0 0.00 secs Sat May 7 21:29 hostname fermi ttyS0 0.00 secs Sat May 7 21:29 bash F fermi ttyS0 0.00 secs Sat May 7 21:29 id fermi ttyS0 0.00 secs Sat May 7 21:29 |
| [5] | コマンドを指定する場合は「--command」オプションをつけます。 |
|
[root@dlp ~]# lastcomm --command vim vim fermi ttyS0 0.06 secs Sat May 7 21:29 |