有没有办法记录vi活动?我怀疑另一个用户通过进入 vi 编辑器内的 shell 发出命令,显然这些命令没有记录到历史中。
你现在如何记录他们的活动?最简单的方法是阻止它们从 vi 启动 shell。
# vi /home/user/.exrc
set exrc
set shell=/bin/false
# chown root:root /home/user/.exrc
# chmod 644 /home/user/.exrc
# chattr +i /home/user/.exrc
如果您使用特殊的 shell 来记录他们的命令,您可以将 vi 更改为仅使用该 shell。
您还可以打开流程记帐( s/can/should/ !)
然后您可以使用:
lastcomm(1)
查看运行的命令,以及它们是否在 fork 之后运行,有或没有 exec。
结合基于主机的 IDS,这应该给你你所需要的“国王的正义可以在他身上完成”。
| 归档时间: |
|
| 查看次数: |
2424 次 |
| 最近记录: |