Нужно мониторить, кто чего делал на сервере

Технические средства здесь (на ЛОРе) обсуждались уже не раз, поищи.
Но если подвести итог, то если тебе НАДО СЛЕДИТЬ ЗА КАЖДЫМ ШАГОМ пользователя, то просто не давай ему шел.
Для всего остального достаточно chmod, chown and security updates.

На самом деле нужно:
1) При входе пользователя по SSH писать все выполняемые им команды не только в bash_history, но и в отдельный лог, дополняя каждую команду префиксом, содержащим IP-адрес пользователя
2) Иметь некий веб-интерфейс, через которй можно было бы просматривать history-логи.

Всё это нужно для того, чтобы точно знать, с какого IP-адреса вошёл в систему пользователь, выолнивший ту или иную команду. К сожалению, разграничением рав доступа на уровне sudo это не решить, потому что у нас чуть ли не каждый второй логинится под рутом, и даже если не под рутом, то по крайней мере su все, кому не лень, выполняют. Система безопасности у нас откровенно аховая, потому что спеть внутренняя, считается защищённой, но от собственных оболтусов и забывчивых UNIX-парней так ведь не защитишься, нужно хотя бы знать, кто именно нагадил и запамятовал потом об этом.

Это не подход. Ну увидишь ты, что трое, в течение одного часа, открывали файл vi /etc/passwd например.
И какой вывод ты сможешь сделать, кого винить в изменениях файла?

Ну хотя бы так, почему бы и нет в конце-концов. У нас ведь нет злонамеренных изменений. Человек может быть просто не очень компетентен или по случайности какую-то команду введёт. Наша задача - не убить его наповал, а выявить его ошибку и сделать так, чтобы он её не повторял, вот и всё, собственно :)

1. Поставить шел, который скидывает хистори в файл или сислог. Для баша есть патчи. 2. Отменить использование переменных HISTCONTROL и т.п. Этого пачта я не нашел, написал сам

Ну и самое главное, что все это можно легко обойти %). Достаточно запустить свой шел.

>Человек может быть просто не очень компетентен или по случайности какую-то команду введёт.

"не очень компетентен" ? Не давать ему root'a

>Наша задача - не убить его наповал, а выявить его ошибку и сделать так, чтобы он её не повторял, вот и всё, собственно :)

Начинать надо с инструктажа по правилам работы на сервере и все должны сознательно (не из под палки) их принять. После этого у каждого юзера свой username и работа только из под sudo, без sudo su и т.п.
Тогда в логи sudo будет писать все запущенные команды.

Иначе никак, все решения обходятся, особенно root'ом.

ну http://ttyrpld.sourceforge.net/desc.php не подойдет?

совсем если топорно, то можно expect вместо шела ставить

>совсем если топорно, то можно expect вместо шела ставить

Посмотрел, что такое expect. Пока не понимаю, как оно мне поможет? Из-под expect'а можно запустить /bin/bash и сохранить его вывод в файл?

Господа, информация о том, с какого IP под каким UID пользователь зашёл в систему единожды пишется в syslog демоном sshd, а дальше она просто теряется. Невозможно ассоциировать IP-адрес и команды, выполняемые пользователем... Что делать????

Во монстр коммерческий - http://www.centrify.com/directaudit/features.asp * Detailed, nonintrusive recording of user sessions on UNIX and Linux systems * Secure, reliable data collection in a scaleable SQL repository * Visual replay of user sessions through an easy-to-use console * Comprehensive, easy-to-use query, search and reporting capabilities * Real-time monitoring with an at-a-glance view of all current user activity

--- можно эвулейшн запросить..

извините, вам таки не кажется что у вас подход к задаче через zope: сначала раздать всем встречным-поперечным рута, а потом думать "какая сволочь здесь напакостила?"

http://xgu.ru/wiki/LiLaLo

accton(8)

Я думаю достаточно будет logsentry - скрипт-анализатор логов, который обо всех подозрительных действиях сообщает на рутовскую почту.