Предотвращение удара (и ksh) изменение истории в Linux

Вот решение для отправки всех команд, выполняемых к серверу системного журнала.

http://blog.rootshell.be/2009/02/28/bash-history-to-syslog/

Извлечение из сообщения в блоге

Вот два метода для отправки копии всех команд, выполняемых пользователями к серверу Системного журнала. Первый использует функцию “прерывания” Bash. Второй является патчем для применения в исходном коде Bash.

Используя прерывание

Просто добавьте следующие строки в своем/etc/profile:

function log2syslog
{
   declare command
   command=$(fc -ln -0)
   logger -p local1.notice -t bash -i — $USER : $command
}
trap log2syslog DEBUG

/etc/profile анализируется и выполняется, когда Bash запускается. Цель состоит в том, чтобы использовать функцию прерывания и вызвать функцию каждый раз, когда пользователь генерирует действие. Функция прерывания (log2syslog) извлечет последнюю команду из истории и зарегистрирует ее к Системному журналу с помощью команды регистратора. Очень легкий реализовать, но этот метод:

spawns new process at each command logged (can have a negative effect when the server activity is high)
is not transparent to the user (regular users can’t edit /etc/profile but can read it!)

Вот почему второй метод будет предпочтен. Используя патч

Метод должен применить патч на исходное дерево Bash и перекомпилировать оболочку. Это требует среды с компилятором и исходным кодом, но этот метод будет использовать меньше ЦП и будет абсолютно прозрачен!

Пример патча доступен здесь. Требуется пять минут для ручного применения патча к исходному Bash 4 дереву.

Вот пример сообщения Системного журнала:

Feb 27 19:30:51 honey bash: HISTORY: PID=21099 UID=1000 echo foo!