CentOS 6
Sponsored Link

全てのコマンド履歴を残す
2011/07/11
 
acctonで全てのコマンド履歴を残します。 コマンド履歴は各々のユーザーの history にも残りますが、それらはユーザー自身で変更や削除ができてしまいます。 よって、管理者権限のみアクセス可能な履歴を別途取得し、何かあったときに追跡しやすいようにします。
ただし、ログにはコマンドのみで、引数までは記録されないので、これだけでは、 誰がいつ何をしたか?の特定は不可能です。inotifyのログ等と合わせてみれば少しはマシになるかもしれません。
[1] accton は psacct パッケージに含まれます。インストールされていない場合はインストールしてください。
[root@dlp ~]#
yum -y install psacct
[2] psacctの起動は以下のようにするだけです。これにより全てのコマンド履歴が残ります。
[root@dlp ~]#
/etc/rc.d/init.d/psacct start

Starting process accounting:     [ OK ]
[root@dlp ~]#
chkconfig psacct on
[3] コマンド履歴のログはバイナリファイルとなっているので、専用のコマンドで内容を出力します。
[root@dlp ~]#
lastcomm

su               S     root     ttyS0      0.02 secs Fri Sep 30 19:18
bash             S     cent     ttyS0      0.00 secs Fri Sep 30 19:18
cat                    cent     ttyS0      0.00 secs Fri Sep 30 19:18
ls                     cent     ttyS0      0.00 secs Fri Sep 30 19:18
bash              F    cent     ttyS0      0.00 secs Fri Sep 30 19:18
.....
.....
systemctl        S     root     ttyS0      0.01 secs Fri Sep 30 19:18
pkttyagent           X root     ttyS0      0.00 secs Fri Sep 30 19:18
systemd-tty-ask        root     ttyS0      0.00 secs Fri Sep 30 19:18
systemd-cgroups  S     root     __         0.00 secs Fri Sep 30 19:18
accton           S     root     __         0.00 secs Fri Sep 30 19:18
[4] ユーザーを指定する場合は「--user」オプションをつけます。
[root@dlp ~]#
lastcomm --user cent

bash             S     cent     ttyS0      0.00 secs Fri Sep 30 19:18
cat                    cent     ttyS0      0.00 secs Fri Sep 30 19:18
ls                     cent     ttyS0      0.00 secs Fri Sep 30 19:18
bash              F    cent     ttyS0      0.00 secs Fri Sep 30 19:18
consoletype            cent     ttyS0      0.00 secs Fri Sep 30 19:18
bash              F    cent     ttyS0      0.00 secs Fri Sep 30 19:18
dircolors              cent     ttyS0      0.00 secs Fri Sep 30 19:18
bash              F    cent     ttyS0      0.00 secs Fri Sep 30 19:18
tput                   cent     ttyS0      0.00 secs Fri Sep 30 19:18
tty                    cent     ttyS0      0.00 secs Fri Sep 30 19:18
grepconf.sh            cent     ttyS0      0.00 secs Fri Sep 30 19:18
grep                   cent     ttyS0      0.00 secs Fri Sep 30 19:18
bash              F    cent     ttyS0      0.00 secs Fri Sep 30 19:18
id                     cent     ttyS0      0.00 secs Fri Sep 30 19:18
bash              F    cent     ttyS0      0.00 secs Fri Sep 30 19:18
id                     cent     ttyS0      0.00 secs Fri Sep 30 19:18
bash              F    cent     ttyS0      0.00 secs Fri Sep 30 19:18
hostname               cent     ttyS0      0.00 secs Fri Sep 30 19:18
bash              F    cent     ttyS0      0.00 secs Fri Sep 30 19:18
id                     cent     ttyS0      0.00 secs Fri Sep 30 19:18
[5] コマンドを指定する場合は「--command」オプションをつけます。
[root@dlp ~]#
lastcomm --command vim

vim     cent     ttyS0     0.06 secs Mon Jul 11 21:29
関連コンテンツ