CentOS 5
Sponsored Link

全てのコマンド履歴を残す2010/05/05

 
acctonで全てのコマンド履歴を残します。 コマンド履歴は各々のユーザーの history にも残りますが、それらはユーザー自身で変更や削除ができてしまいます。 よって、管理者権限のみアクセス可能な履歴を別途取得し、何かあったときに追跡しやすいようにします。
ただし、ログにはコマンドのみで、引数までは記録されないので、これだけでは、 誰がいつ何をしたか?の特定は不可能です。inotifyのログ等と合わせてみれば少しはマシになるかもしれません。
[1] accton は psacct パッケージに含まれます。インストールされていない場合はインストールしてください。
[root@dlp ~]#
yum -y install psacct
[2] psacctの起動は以下のようにするだけです。これにより全てのコマンド履歴が残ります。
[root@dlp ~]#
/etc/rc.d/init.d/psacct start

Starting process accounting:     [ OK ]
[root@dlp ~]#
chkconfig psacct on
[3] コマンド履歴のログはバイナリファイルとなっているので、専用のコマンドで内容を出力します。
[root@dlp ~]#
lastcomm

bash S      cent ttyS0 0.01 secs Sat May 7 21:29
id          cent ttyS0 0.00 secs Sat May 7 21:29
bash F      cent ttyS0 0.00 secs Sat May 7 21:29
consoletype cent ttyS0 0.00 secs Sat May 7 21:29
bash F      cent ttyS0 0.00 secs Sat May 7 21:29
dircolors   cent ttyS0 0.00 secs Sat May 7 21:29
bash F      cent ttyS0 0.00 secs Sat May 7 21:29
tput        cent ttyS0 0.00 secs Sat May 7 21:29
tty         cent ttyS0 0.00 secs Sat May 7 21:29
bash F      cent ttyS0 0.00 secs Sat May 7 21:29
hostname    cent ttyS0 0.00 secs Sat May 7 21:29
bash F      cent ttyS0 0.00 secs Sat May 7 21:29
id          cent ttyS0 0.00 secs Sat May 7 21:29
lastcomm    root ttyS0 0.00 secs Sat May 7 21:29
chkconfig   root ttyS0 0.00 secs Sat May 7 21:29
psacct      root ttyS0 0.00 secs Sat May 7 21:28
touch       root ttyS0 0.00 secs Sat May 7 21:28
accton S    root ttyS0 0.00 secs Sat May 7 21:28
[4] ユーザーを指定する場合は「--user」オプションをつけます。
[root@dlp ~]#
lastcomm --user cent

bash S      cent ttyS0 0.01 secs Sat May  7 21:29
id          cent ttyS0 0.00 secs Sat May  7 21:29
bash F      cent ttyS0 0.00 secs Sat May  7 21:29
consoletype cent ttyS0 0.00 secs Sat May  7 21:29
bash F      cent ttyS0 0.00 secs Sat May  7 21:29
dircolors   cent ttyS0 0.00 secs Sat May  7 21:29
bash F      cent ttyS0 0.00 secs Sat May  7 21:29
tput        cent ttyS0 0.00 secs Sat May  7 21:29
tty         cent ttyS0 0.00 secs Sat May  7 21:29
bash F      cent ttyS0 0.00 secs Sat May  7 21:29
hostname    cent ttyS0 0.00 secs Sat May  7 21:29
bash F      cent ttyS0 0.00 secs Sat May  7 21:29
id          cent ttyS0 0.00 secs Sat May  7 21:29
[5] コマンドを指定する場合は「--command」オプションをつけます。
[root@dlp ~]#
lastcomm --command vim

vim     cent     ttyS0     0.06 secs Sat May 7 21:29
関連コンテンツ