私たちは、サーバーで誰が何をしたのかを追跡できる環境を設定しています。私たちは通常「last」コマンドとbash_historyファイルに焦点を当てていますが、完全には役に立ちません。つまり、コマンドを実行しているのと同じユーザーがまだ bash_history ファイルからエントリを削除できます。そのため、追跡することがますます困難になっています。
コマンド履歴を完全に保護する方法はありますか?
答え1
頼らないでください.bash_history。アカウント(読み取りaccton(8)と友達)を有効にしてから、人々に管理者権限を与えますsudo。 logコマンドを実行しsudo、ログをリモートコンピュータに送信します。
答え2
コマンド履歴を完全に保護する方法はありますか?
はい、ユーザーが自分のコマンド履歴を完全に保護する方法があります。彼らはこれをしなければなりません。
unset HISTFILE
そして、もはやディスクに記録されないので、記録を監視する人から完全に保護されます。
答え3
私は、ユーザーが自分のトレースを隠すために自分の.bash_historyを編集および/または削除する状況に直面しました。
私が思いついた簡単な解決策は、chattr + aを使用することです。この方法ではファイルの追加のみが許可され、編集や削除は許可されません。また、rootユーザーのみがこれを設定または設定解除できます。
すべての現在のユーザーに配布するには、rootとしてsuして次のように実行します。
chattr +a /home/*/.bash_history
すべての新規ユーザーを引き付けるために、30分ごとにこのコマンドを実行する簡単なスクリプトを作成しました。
ユーザーを削除するには、ユーザーディレクトリを削除する前にこのディレクトリを変更する必要があることに注意してください。これは、次のコマンドを実行することによって行われます。
chattr -a /home/username/.bash_history
それは非常に効果的であることが証明されています。これで、AIXでそれに対応する項目を見つけてください。