Re: .history

Sat, 11 Sep 2004 15:08:19 -0700 

On Sat, Sep 11, 2004 at 03:00:54PM +0200, Miro Ziemski wrote:
> >Czy ktos moze polecic mi jakies dobre narzedzie do logowania tego, co 
> >robia uzytkownicy na swoich kontach?
> >.history moze user usunac, gdy zmienic wlasciciela na roota, logowanie nie 
> >zadziala...
> >
> man chattr (zwłaszcza parametr +a), ale tylko na ext2 i ext3 jeśli się 
> nie mylę.
to nic nie da.
logi są dopisywane do historii po zamknięciu aktualnej sesji basha,
więc.. kill -9 -1 z usera i już w historii śladu nie ma ;)

workaroundy 
- spaczowany bash by logował historię 'online' (--with bash_history, ale
  chyba się na 3.0 nie nakłada.. trzeba będzie zobaczyć jak sie na basha
  3.0 przejdzie ;), 
- pakiet psacct - loguje proces i jego czas zakończenia/działania, nie
  loguje ścieżki, parametrów... logi w stylu:
procmail                undefine ??         0.01 secs Sun Sep 12 00:05
procmail                undefine ??         0.00 secs Sun Sep 12 00:05
wc                      undefine ??         0.00 secs Sun Sep 12 00:05
procmail                undefine ??         0.00 secs Sun Sep 12 00:05
bash                    undefine ??         0.00 secs Sun Sep 12 00:05
- logowanie przez grsecurity (kernel.grsecurity.exec_logging = 1 w
  /etc/sysctl.conf), logi w stylu:
Sep 12 00:06:00 XXX kernel: grsec: From 83.27.129.119: exec of /bin/bash (/bin/bash -c 
formail -I "" | head | tr -s '\n*' ' ' ) by (procmail:12529) uid/euid:500/500 
gid/egid:1002/1002, parent (procmail:12528) uid/euid:500/500 gid/egid:1002/1002 
Sep 12 00:06:00 XXX kernel: grsec: From 83.27.129.119: exec of /usr/bin/formail 
(formail -I  ) by (bash:12530) uid/euid:500/500 gid/egid:1002/1002, parent 
(bash:12529) uid/euid:500/500 gid/egid:1002/1002
Sep 12 00:06:00 XXX kernel: grsec: From 83.27.129.119: exec of /usr/bin/head (head ) 
by (bash:12531) uid/euid:500/500 gid/egid:1002/1002, parent (bash:12529) 
uid/euid:500/500 gid/egid:1002/1002
Sep 12 00:06:00 XXX kernel: grsec: From 83.27.129.119: exec of /usr/bin/tr (tr -s \n*  
 ) by (bash:12532) uid/euid:500/500 gid/egid:1002/1002, parent (bash:12529) 
uid/euid:500/500 gid/egid:1002/1002
- coś własnego ;)

itepe

-- 
Andrzej 'The Undefined' Dopierała
UNIX && Linux administrator, Adam Mickiewicz University WMiI
PLD Linux Developer             HomePage: http://aramin.net/
JID: [EMAIL PROTECTED]    e-mail: [EMAIL PROTECTED]

_______________________________________________
pld-users-pl mailing list
[EMAIL PROTECTED]
http://lists.pld-linux.org/mailman/listinfo/pld-users-pl

Odpowiedź listem elektroniczym