监控Linux用户操作

限制history文件不可删除：

chattr +a .bash_history

在/etc/profile里添加如下命令：

 

export HISTFILE=$HOME/.bash_history

export HISTIGNORE=

export HISTTIMEFORMAT="%Y-%m-%d - %H:%M:%S "

 

typeset -r HISTFILE

typeset -r HISTIGNORE

typeset -r HISTTIMEFORMAT

 

shopt -s cmdhist

shopt -s histappend

 

PROMPT_COMMAND="history -a"

typeset -r PROMPT_COMMAND

使用ACCT工具双重监控。

参考：

• https://administratosphere.wordpress.com/2011/05/20/logging-every-shell-command/
• http://www.tecmint.com/how-to-monitor-user-activity-with-psacct-or-acct-tools/
• history man page