Como posso ver o histórico de comando de outro utilizador?
Eu sou um administrador na minha máquina. Consigo ver o histórico normal vendo /home/user_name/.bash_history mas não consigo ver comandos desse user_name quando estavam a fazer sudo.
Existe uma forma de ver todos os comandos executados por um utilizador?
Nos sistemas operativos baseados em Debian, fazertail /var/log/auth.log | grep usernamedeveria dar-lhe um histórico sudo do utilizador. Não acredito que haja uma forma de obter um histórico unificado de comandos normais + comandos sudo de um utilizador.
nos sistemas operativos baseados em RHEL, seria necessário verificar /var/log/secure em vez de /var/log/auth.log.
Se o utilizador emitiu um comando como em sudo somecommand, o comando aparecerá no registo do sistema.
Se o utilizador criou uma concha com, por exemplo, sudo -s, sudo su, sudo sh, /root/.bash_history, etc, então o comando may aparecerá na história do utilizador raiz, ou seja, em 0x6& ou semelhante.
# zless /var/log/auth* é o seu amigo aqui. Abre até os ficheiros gzipados. Pode saltar entre aqueles com :n para a frente ou :p para trás.
Em alternativa, pode usar # journalctl -f -l SYSLOG_FACILITY=10 por exemplo. Leia mais sobre isto no Arch Linux wiki
A lógica aplica-se a muitos outros objectivos.
E como ler a história de cada utilizador de /home/ filesystem? E se existirem milhares deles?
#!/bin/ksh
last |head -10|awk '{print $1}'|
while IFS= read -r line
do
su - "$line" -c 'tail .sh_history'
done
Aqui é o script.