Я могу зарегистрировать vi действие?
2 минуты в месяц не слишком плохи. NTP должен смочь счастливо исправить тот объем дрейфа.
Если это не всегда был этот путь, и Вы можете удалить машину, затем попытаться заменить батарею CMOS. Они являются дешевыми, и Вы могли бы найти, что это решает вопрос.
Анекдотическая история для Вас:
Я имею в прошлом, замеченном беговая дорожка, которая показывала 500 ~ дрейфов PPM. Приравнивание приблизительно к 45 секундам в день. Это было слишком много для NTP для исправления на лету. Я попробовал весь вид вещей зафиксировать его включая новое ядро и различные классы RTC.
В конце моего остроумия, и против логики, что это должно влиять на беговую дорожку, я заменил батарею CMOS новой. Мультиметр показал только очень небольшую разницу между старыми и новыми батареями. Это зафиксировало дрейф часов.
Можно также включить учет процесса (s/can/should/!)
Можно затем использовать:
lastcomm(1)
видеть выполненную команду и если они были выполнены после ветвления, с или без должностного лица.
Объединенный с основанным на хосте IDS это должно дать Вам, в чем Вы нуждаетесь, "что справедливость Короля может быть сделана на него".
Как Вы регистрируете их операции прямо сейчас? Самое легкое должно заблокировать их от запуска оболочек от vi.
# vi /home/user/.exrc
set exrc
set shell=/bin/false
# chown root:root /home/user/.exrc
# chmod 644 /home/user/.exrc
# chattr +i /home/user/.exrc
При использовании специальной оболочки для входа их команд, Вы могли бы изменить vi для использования той оболочки только.
Вы говорите об истории оболочки? vi окружают режим (:sh) запускает оболочку пользователя по умолчанию, Если это - удар затем, можно удостовериться, что сохранение истории всегда включается путем редактирования глобального/etc/bashrc и добавления:
set HISTFILE=~/.bash_history
shopt -s histappend
PROMPT_COMMAND='history -a'
это гарантирует, что каждая пользовательская команда зарегистрирована в файл, это не становится перезаписанным, и это обновляется каждый раз, когда приглашение оболочки появляется.
Обратите внимание, что пользователи могут переопределить это в своем персональном ~/.bashrc таким образом, это не абсолютная гарантия, что вход произойдет.
Некоторые версии vi (как nvi) поддерживают безопасный режим, который отключает доступ оболочки через запуск vi как nvi -S. Вы могли установить глобальный псевдоним в /etc/bashrc вызвать этот режим по умолчанию также.
Обратите внимание, что в целом проблемой пользователей, добирающихся до оболочки через неожиданные средства, является классическая проблема Unix. Нет никакого способа отключить это полностью, лучшее, которое можно сделать, попытаться ограничить доступ по умолчанию. Сложный пользователь (или даже пользователь, который знает, как использовать Google) могут всегда обходить эти ограничения. Например, если пользователь не хочет свою историю оболочки, зарегистрированную, он мог всегда просто должностное лицо новая копия оболочки с любыми опциями, которые он хотел использовать.
Вот большая рецензия того, как вызвать входящий в систему удар и способы, которыми может обойтись вход.
Наконец, Вы полагали просто говорящий с пользователем определять то, что они делают? 99% времени простая вербальная коммуникация могут разрешить любой беспорядок. При входе действия этого пользователя, потому что Вы не доверяете им, возможно, можно говорить с ними о проблемах.