[imhoman101]

Всем привет !

Дал рута к серверу помощнику на работе, но есть подозрения, что он злоупотребляет полученными привилегиями. Поэтому возникла задача иметь информацию о том, кто откуда залогинился на сервер, и если он был рутом, знать все выполненные команды.


Проблема в том, что умные товарищи умеют стирать логи на компе, маскируя свои действия. Частично это преодолеваемо. Знаю, что syslogd к примеру может протоколировать события не локально, а на выделенный сервер (есть специальный компьютер для этого). Но syslogd сохраняет информацию только о том какой пользователь, с какого хоста и во сколько залогинился.

Но я подумал, что хорошо бы усложнить задачу. И сохранять информацию обо всех командах какие суперпользователь выполнял. Если это удаленная сессия, то хорошо бы каждую новую добавленную строку .bash_history протоколировать аналогично тому как протоколирует события syslog. А в идеале хорошо бы вести еще и логи запусков KDE,Gnome (то есть графических) приложений.

Все это я делаю потому что умные товарищи могут подчистить .bash_history, или вообще его обнулить предусмотрительно.

Итак, знатоки, какое ваше мнение ? Что посоветуете !

Спасибо заранее за помощь.