Вы являетесь системным администратором Linux и хотите отслеживать интерактивную активность всех пользователей системы (команды Linux, которые они выполняют) в реальном времени. В этом кратком руководстве по безопасности системы Linux мы объясним, как просматривать все команды оболочки Linux, выполненные пользователями системы, в реальном времени.
Читайте также: Как отслеживать активность пользователей с помощью инструментов psacct или acct
Если ваша система использует bash, самую часто используемую оболочку, то все команды, выполненные обычными пользователями системы, будут сохранены в скрытом файле .bash_history, который находится в домашнем каталоге каждого пользователя. Содержимое этого файла может быть просмотрено пользователями с помощью команды history.
Чтобы просмотреть файл .bash_history пользователя aaronkilik, введите:
# cat /home/aaronkilik/.bash_history
На скриншоте выше дата и время выполнения команды не отображаются. Это настройка по умолчанию на большинстве, если не на всех дистрибутивах Linux.
Вы можете следовать этому руководству, чтобы установить дату и время для каждой команды в файле bash_history.
Отслеживание активности пользователя в реальном времени с помощью Sysdig в Linux
Чтобы увидеть, что пользователи делают на системе, вы можете использовать команду w следующим образом.
# w
Но чтобы иметь возможность просматривать в реальном времени команды оболочки, выполняемые другим пользователем, вошедшим через терминал или SSH, вы можете использовать инструмент Sysdig в Linux.
Sydig – это мощный и гибкий инструмент мониторинга, анализа и устранения неполадок для Linux, работающий на разных платформах с открытым исходным кодом. Он может быть использован для исследования и отладки системы.
После установки sysdig используйте каноничный spy_users для наблюдения за пользователями, выполнив команду ниже.
# sysdig -c spy_users
Вышеуказанная команда отображает каждую команду, которую пользователи запускают интерактивно, а также каждый каталог, который посещают пользователи.
Это все, вы также можете ознакомиться с этими связанными статьями:
- 25 советов по укреплению безопасности для серверов Linux
- Lynis – инструмент аудита и сканирования безопасности для Linux-систем
- 10 полезных брандмауэров с открытым исходным кодом для систем Linux
- A Practical Guide to Nmap (Network Security Scanner) in Linux
В этом руководстве по безопасности систем мы описали, как просматривать файл истории команд bash пользователей, отображать вошедших пользователей и их действия, а также объяснили, как просматривать или отслеживать все команды, выполняемые пользователями системы в реальном времени.
Если вы хотите поделиться другими методами или задать вопросы, пожалуйста, сделайте это через раздел комментариев ниже.
Source:
https://www.tecmint.com/monitor-linux-commands-executed-by-system-users-in-real-time/