Jak mogę zobaczyć historię poleceń innego użytkownika?
Jestem administratorem na mojej maszynie. Mogę zobaczyć normalną historię poprzez przeglądanie /home/user_name/.bash_history, ale nie mogę zobaczyć poleceń tego user_name, kiedy wykonywał sudo.
Czy istnieje sposób na wyświetlenie wszystkich komend wykonanych przez jednego użytkownika?
W systemach operacyjnych opartych na Debianie, wykonanietail /var/log/auth.log | grep username powinno dać ci historię sudo użytkownika. Nie sądzę, aby istniał sposób na uzyskanie ujednoliconej historii poleceń użytkownika - normalnych + sudo.
W systemach operacyjnych opartych na RHEL, musiałbyś sprawdzić /var/log/secure zamiast /var/log/auth.log.
Jeśli użytkownik wydał polecenie jak w sudo somecommand, to pojawi się ono w logu systemowym.
Jeśli użytkownik wywołał powłokę z np, sudo -s, sudo su, sudo sh, etc, to polecenie może pojawić się w historii użytkownika root, czyli w /root/.bash_history lub podobnym.
# zless /var/log/auth* jest tutaj twoim przyjacielem. Otwiera on nawet pliki gzipowane. Możesz przeskakiwać między nimi za pomocą :n do przodu lub :p do tyłu.
Alternatywnie, możesz użyć # journalctl -f -l SYSLOG_FACILITY=10 na przykład. Przeczytaj więcej na ten temat na Arch Linux wiki
Ta logika ma zastosowanie do wielu innych celów.
A jak odczytać .sh_history każdego użytkownika z systemu plików /home/? Co jeśli są ich tysiące?
#!/bin/ksh
last |head -10|awk '{print $1}'|
while IFS= read -r line
do
su - "$line" -c 'tail .sh_history'
done
Tutaj jest skrypt.