CentOS 6
Sponsored Link

全てのコマンド履歴を残す
2011/07/11
 
acctonで全てのコマンド履歴を残します。 コマンド履歴は各々のユーザーの history にも残りますが、それらはユーザー自身で変更や削除ができてしまいます。 よって、管理者権限のみアクセス可能な履歴を別途取得し、何かあったときに追跡しやすいようにします。
ただし、ログにはコマンドのみで、引数までは記録されないので、これだけでは、 誰がいつ何をしたか?の特定は不可能です。inotifyのログ等と合わせてみれば少しはマシになるかもしれません。
[1] accton は psacct パッケージに含まれます。インストールされていない場合はインストールしてください。
[root@dlp ~]#
yum -y install psacct
[2] psacctの起動は以下のようにするだけです。これにより全てのコマンド履歴が残ります。
[root@dlp ~]#
/etc/rc.d/init.d/psacct start

Starting process accounting:     [ OK ]
[root@dlp ~]#
chkconfig psacct on
[3] コマンド履歴のログはバイナリファイルとなっているので、専用のコマンドで内容を出力します。
[root@dlp ~]#
lastcomm

bash
S
cent
ttyS0
0.01 secs Mon Jul 11 21:29

id
cent
ttyS0
0.00 secs Mon Jul 11 21:29

bash
F
cent
ttyS0
0.00 secs Mon Jul 11 21:29

consoletype
cent
ttyS0
0.00 secs Mon Jul 11 21:29

bash
F
cent
ttyS0
0.00 secs Mon Jul 11 21:29

dircolors
cent
ttyS0
0.00 secs Mon Jul 11 21:29

bash
F
cent
ttyS0
0.00 secs Mon Jul 11 21:29

tput
cent
ttyS0
0.00 secs Mon Jul 11 21:29

tty
cent
ttyS0
0.00 secs Mon Jul 11 21:29

bash
F
cent
ttyS0
0.00 secs Mon Jul 11 21:29

hostname
cent
ttyS0
0.00 secs Mon Jul 11 21:29

bash
F
cent
ttyS0
0.00 secs Mon Jul 11 21:29

id
cent
ttyS0
0.00 secs Mon Jul 11 21:29

lastcomm
root
ttyS0
0.00 secs Mon Jul 11 21:29

chkconfig
root
ttyS0
0.00 secs Mon Jul 11 21:29

psacct
root
ttyS0
0.00 secs Mon Jul 11 21:28

touch
root
ttyS0
0.00 secs Mon Jul 11 21:28

accton
S
root
ttyS0
0.00 secs Mon Jul 11 21:28

[4] ユーザーを指定する場合は「--user」オプションをつけます。
[root@dlp ~]#
lastcomm --user cent

bash
S
cent
ttyS0
0.01 secs Mon Jul 11 21:29

id
cent
ttyS0
0.00 secs Mon Jul 11 21:29

bash
F
cent
ttyS0
0.00 secs Mon Jul 11 21:29

consoletype
cent
ttyS0
0.00 secs Mon Jul 11 21:29

bash
F
cent
ttyS0
0.00 secs Mon Jul 11 21:29

dircolors
cent
ttyS0
0.00 secs Mon Jul 11 21:29

bash
F
cent
ttyS0
0.00 secs Mon Jul 11 21:29

tput
cent
ttyS0
0.00 secs Mon Jul 11 21:29

tty
cent
ttyS0
0.00 secs Mon Jul 11 21:29

bash
F
cent
ttyS0
0.00 secs Mon Jul 11 21:29

hostname
cent
ttyS0
0.00 secs Mon Jul 11 21:29

bash
F
cent
ttyS0
0.00 secs Mon Jul 11 21:29

id
cent
ttyS0
0.00 secs Mon Jul 11 21:29

[5] コマンドを指定する場合は「--command」オプションをつけます。
[root@dlp ~]#
lastcomm --command vim

vim
cent
ttyS0
0.06 secs Mon Jul 11 21:29

 
Tweet