Linux用户操作记录审计

hmf888

想给服务器做用户操作记录审计。找个几种解决方法，感觉都不理想，请版主赐教。
Linux用户认证及访问控制：每个用户都有自己的账号，通过sudo获得更多权限。
方法一： Linux 进程审计功能，通过lasscomm,last等命令获得操作审计信息。问题：只有命令，没有参数，感觉不直观。
方法二： Shell history功能。问题：普通用户可以绕过；sudo su之后不能识别原始用户。
方法三:   Shell prompt_command变量。问题：普通用户可以绕过。
方法四： sudo记录历史命令功能。问题： 只有sudo开头的命令记录。

感觉我的需求很常规。要求：记录每个用户的操作记录，只记录操作命令，要求记录完整；及时用户sudo su后，还是按照sudo之前的老用户记录；普通用户没有办法绕开。

[ 本帖最后由 hmf888 于 2010-1-14 15:51 编辑 ]

yumanifold

我之前是在ps aux里面去截取数据，配合sudo的日志。。。。。

hmf888

发表于 2010-1-14 15:20
我之前是在ps aux里面去截取数据，配合sudo的日志。。。。。

-------------------------------------------------------------------------
这位兄台，能详细说明吗？赐教了！

hmf888

顶！！！

hmf888

在看sudosh 或许能有些用.

hmf888

自己把改sh的代码也是一种方式,应该不难的,问题是增加维护成本.

hmf888

版主,现身拉!

emmoblin

这个挺有意思的，按理说自己实现难度也不是太大。不过最好能找到接近的开源的方案

yumanifold

我找不到之前的脚本了，但还记得点。。。我是检测当前在线用户，但如果有些用户是通过su切换过去的话，用w是看不出来的，但可以通过ps看出来su之前和su的目标用户，而将ps axu的数据通过awk等工具提取，加上PID和PPID等又可以取得一些数据。。。。再结合pstree ，可以截取到一些的。。。。lz先看看。。。

[ 本帖最后由 yumanifold 于 2010-1-15 09:55 编辑 ]

hmf888

找到一个开源项目叫 eash, 一个改写过的sh, 不过感觉像年久失修的老房子。下来用用先。