Linux 中的 root 用户是否可以实时(或接近实时)查看其他用户通过终端或 SSH 登录的 shell 命令?显然,它们存储在 .bash_history 中,但只有在用户注销时才会保存,也可以禁用。
编辑:理想情况下,可以轻松打开和关闭的东西。
在后台启动进程或将其作为systemd服务很容易。
然而,如果我想启动一个进程来监视Linux机器上的活动,那么它就成为了攻击的目标。如果任何用户想做坏事,它会首先通过简单地执行或 来终止该进程,即使他们只是sudoers 或wheel用户。killsystemctl stop
有没有办法强制执行只能杀死的进程root?
伙计们,只要想到连rsyslog服务都可以被杀死,你就应该承认 Linux 确实是多么脆弱。这就像飞行员可以关闭黑匣子一样。有航空公司允许这种情况发生吗?或者是否有人给飞行员一份允许名单,以阻止他们采取任何措施来拯救飞机?当然,飞行员可以让飞机坠毁,但黑匣子会记录下来。
从安全角度来看,我关于禁止名单的提议是合法的,尽管它可能会让你感到害怕。所以不要试图责怪提出问题的人,好吗?