Сохранять журналы пользователя после использования sudo su -: Вторичная регистрация — Information Security Squad

Сохранять журналы пользователя после использования sudo su -: Вторичная регистрация

Когда мы выполняем sudo su — или su — и пользователь становится root, мы обнаружили, что в журнале нелегко отслеживать, какая команда используется каким пользователем.

Другими словами, мы можем сохранить команды, введенные пользователем, даже после того, как они станут root после выполнения sudo su — или su -.

Ниже приведена инструкция:

Зайдем в систему в качестве пользователя root.

Шаг 1. Создайте каталог с именем users_historylogs в /var/log/

mkdir -p /var/log/users_historylogs

Шаг 2. Вставьте указанное ниже содержимое в /root/.bashrc.

export HISTSIZE=10000
export HISTTIMEFORMAT="%F %T "
export HISTFILE=/var/log/users_historylogs/root_history-$(who am i | awk '{print $1}';exit)
export PROMPT_COMMAND='history -a'

Шаг 3: после сохранения файла. Введите приведенную ниже команду.

source /root/.bashrc

Теперь вы можете проверить. Выйдите из системы и войдите в систему и перейдите в каталог /var/log/users_historylogs.

Найдете журналы и откройте их. В этих журналах должна быть история команд.

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40