该auditd包是为此而设计的,您可以使用 PAM 为每个登录分配一个会话 ID,以便您可以将帐户上的活动跟踪回原始登录(然后检查登录日志以确定该人从何处登录),并使用ausearch用于定位您感兴趣的事件的命令。您可以在此处阅读非常全面的指南,但需要更改一些更精细的细节以匹配您的发行版。红帽有一个常见问题和其他一些文档网站在这里。
由于这不依赖于尝试记录输入到 shell 中的命令或记录用户的命令历史记录,它应该记录诸如打开 vi(这可能通过 X 或 in 完成screen)、编写脚本(可能是一个字符)之类的事情。使用 vi 的剪切/粘贴命令和几次运行:.!/usr/games/fortune以获取一些您可能无法记录的源数据),然后运行该:%!/bin/bash命令。