Usuário e data em histórico de comandos - Dúvida!

[b1g0d3]

Boa Tarde pessoal,


Estou com a seguinte situação. Compartilho o usuário root com mais 2 administradores de um servidor, e em uma data específica, foi feito o logon nesta máquina e executado alguns comandos que me trouxe problemas posteriormente. Através do history e do .bash_history do usuário root consegui identificar os comandos a serem executados.
O problema é que preciso da Data e do Horário em que esses comandos foram executados, ou em algum outro log, para provar qual dos administradores logaram e executaram tal procedimento. Existe essa possibilidade? A distribuição utilizada é o Slackware 10.2.


Atenciosamente,

Filipe.

[pascal]

Você pode colocar isso no final do seu .bashrc.
Talvez tenha que pensar alguns refinamentos para ficar 100%


alias exit='date >> ./HISTORY && exit'
cat .bash_history >> HISTORY
date >> HISTORY
rm .bash_history

[b1g0d3]

Testarei e posto aqui o resultado assim que possível.

Grato.

[B1SH0P]

I ai, seguinte vamos a uma análise

1 - se isso te causou problemas certamente gerou logs (messages, security e por ai vai)
2 - se gerou logs você conhece o problema que te causou então você deve conhecer comando ou algo que resulte neste estragos?
3 - se você conhece algo assim pode fazer uma busca em seus logs para identificação de data e hora certo?


Você disse que sabe os comandos dados, então você pode vasculhar os logs. seria mais complexo que a solução ai de cima mas na hora deste tipo de problema acho que vale a pena.

[Pirigoso]

cara vai la no syslog e se diverte

[Patrick]

uma boa pratica seria voce proibir o login direto como root, aí voce cria um usuario para cada administrador.
no arquivo /var/log/secure voce tem o log de qual usuario passou para root, por aí da pra ter uma ideia melhor de quem e quando entrou como root.

um exemplo de entrada nesse arquivo de log é:
Oct 9 17:48:05 host su[3257]: + pts/0 patrick-root