Comment puis-je voir l'historique des commandes d'un autre utilisateur?
Je suis un administrateur sur ma machine. Je peux voir l'historique normal en consultant /home/user_name/.bash_history
mais je ne peux pas voir les commandes de ce user_name
quand ils étaient en train de faire Sudo
.
Existe-t-il un moyen de visualiser toutes les commandes exécutées par un utilisateur?
Sur les systèmes d'exploitation basés sur Debian, l'exécution de tail /var/log/auth.log | grep username
devrait vous donner l'historique Sudo
d'un utilisateur. Je ne crois pas qu'il soit possible d'obtenir un historique des commandes unifiées des commandes normales + Sudo d'un utilisateur.
Sur les systèmes d'exploitation basés sur RHEL, vous devez vérifier /var/log/secure
au lieu de /var/log/auth.log
.
Je viens de tester ce qui suit, et cela a fonctionné à merveille.
Sudo vim /home/USER_YOU_WANT_TO_VIEW/.bash_history
Si l'utilisateur a émis une commande telle que dans Sudo somecommand
, la commande apparaîtra dans le journal système.
Si l'utilisateur a créé un shell avec, par exemple, Sudo -s
, Sudo su
, Sudo sh
, etc., la commande peut apparaître dans l'historique de l'utilisateur root, c'est-à-dire , en /root/.bash_history
ou similaire.
# zless /var/log/auth*
est votre ami ici. Il ouvre même les fichiers gzippés. Vous pouvez basculer entre ceux avec :n
avant ou :p
arrière.
Alternativement, vous pouvez utiliser # journalctl -f -l SYSLOG_FACILITY=10
par exemple. Plus d'informations à ce sujet sur le wiki Arch Linux
Peut-être que ce lien a une valeur pour vous: http://www.Sudo.ws/pipermail/Sudo-users/2000-March/000052.html
Mais gardez bien à l'esprit que ne laisser aucune trace dans bash_history consiste simplement à lancer une commande avec un espace, etc. L'historique est une aide, pas un outil de journalisation.
Salutations d'Allemagne, Daniel Leschkowski