Come posso visualizzare la cronologia dei comandi di un altro utente?
sono un amministratore sulla mia macchina. Posso vedere la normale cronologia visualizzando /home/user_name/.bash_history ma non posso vedere i comandi di quel user_name quando stavano facendo sudo.
C'è un modo per vedere tutti i comandi eseguiti da un utente?
Sui sistemi operativi basati su Debian, faretail /var/log/auth.log | grep username dovrebbe darvi la cronologia sudo di un utente. Non credo ci sia un modo per ottenere una cronologia unificata dei comandi normali + sudo di un utente.
Sui sistemi operativi basati su RHEL, dovresti controllare /var/log/secure invece di /var/log/auth.log.
Se l'utente ha emesso un comando come in sudo somecommand, il comando apparirà nel log di sistema.
Se l'utente ha generato una shell con, ad esempio, sudo -s, sudo su, sudo sh, ecc, allora il comando può apparire nella storia dell'utente root, cioè in /root/.bash_history o simili.
# zless /var/log/auth* è il tuo amico qui. Apre anche i file gzippati. Puoi saltare tra questi con :n in avanti o :p indietro.
In alternativa, puoi usare # journalctl -f -l SYSLOG_FACILITY=10 per esempio. Leggi di più su questo sul Arch Linux wiki
La logica si applica a molti altri obiettivi.
E come leggere .sh_history di ogni utente da /home/ filesystem? E se ce ne sono migliaia?
#!/bin/ksh
last |head -10|awk '{print $1}'|
while IFS= read -r line
do
su - "$line" -c 'tail .sh_history'
done
Qui è lo script.