Re: Revisar historial de accesos

[Pablo Jiménez <pejimene@vtr.net>]

On Wed, Jun 01, 2011 at 04:18:59PM -0400, Marcel Sanchez Gongora wrote:
> Buenas Pablo
> 
> On Wed, 2011-06-01 at 15:49 -0400, Pablo Zuñiga wrote:
> > ¿Quien sabe como poder revisar el historial de accesos de un usuario?,
> > tengo unos usuarios que son públicos (usados por varias personas) y
> > necesito ir respaldando el historial de comandos (usuario + IP +
> > comandos), existe una forma ya definida de hacerlo o alguna
> > implementacion conocida?
> 
> Lo que deseas hacer nunca lo he implementado pero se me ocurre que
> pudieras poner a rotar el bash_history de cada usuario y con los
> permisos necesarios para que solo pudieran agregar contenido al mismo.
> No conozco si otros fs que no sean ext te permiten asignar este tipo de
> permisos. Lo otro sería buscar la concordancia de tu archivo rotado con
> el /var/log/auth.log La rotación imagino que tendrías que implementarla
> de alguna forma si con logrotate no pudieras.
> 
> Suerte

El .bash_history no es opción confiable para realizar auditorías. Para
conexiones de usuarios, puedes recurrir al comando last y configurar
adecuadamente logrotate para los archivos/ficheros /var/log/btmp y
/var/log/wtmp. Si requieres el historial de órdenes ejecutadas por un
usuario, revisa las herramientas que vienen en el paquete acct.

Saludos.

-- 
Pablo Jiménez