Как просмотреть историю команд другого пользователя?
Я администратор на своей машине. Я вижу обычную историю, просматривая /home/user_name/.bash_history, но я не вижу команды этого user_name, когда они делали sudo.
Есть ли способ просмотреть все команды, выполняемые одним пользователем?
В операционных системах на базе Debian, dotail /var/log/auth.log | grep usernameshould дать пользователю историю sudo. Я не верю, что есть способ получить унифицированную историю команд пользователя + обычные команды sudo. В операционных системах на базе RHEL вам нужно будет проверить /var/log/secure вместо /var/log/auth.log.
Если пользователь выдал команду как в sudo somecommand, то она появится в системном журнале.
Если пользователь создал оболочку, например, sudo -s, sudo su, sudo sh, и т.д., то команда may появится в истории корневого пользователя, то есть в /root/.bash_history или аналогичной.
# zless /var/log/auth* твой друг здесь. Он открывает даже файлы gzipped. Вы можете перепрыгнуть между файлами с :n вперед или :p назад.
В качестве альтернативы вы можете использовать, например, # journalctl -f -l SYSLOG_FACILITY=10. Подробнее об этом читайте в Arch Linux wiki .
Логика применима ко многим другим целям.
А как читать .sh_история каждого пользователя из /home/ файловой системы? Что, если их тысячи?
#!/bin/ksh
last |head -10|awk '{print $1}'|
while IFS= read -r line
do
su - "$line" -c 'tail .sh_history'
done
Здесь - это скрипт.