/var/log/account/pacct? Не совсем то, но довольно-таки близко.

бггг
gtk-recordmydesktop, не ?

у нас же не венда, никто курсором не возит на сервере

bash_history, не? :)

А почему не винда? Почему никто не водит курсор? Что вы о себе возомнили? Вот придет бябя милиционер проверять, а у вас и курсора-то нет... Вы что же, ставите себя выше общества? ЭТО ВОЗМУТИТЕЛЬНО!

Cron'ом history пользователя копировать в файл, к которому у него нет доступа на запись, чтобы не устранил улики. Ну и date заодно можно туда же писать.

Для своего сервера ещё делал логгирование всех pid'ов, чтобы, если пользователь что-то убил, знать, что это был за процесс.

то шутка была )
может, проще на denyhosts глянуть ?

http://www.cyberciti.biz/tips/howto-log-user-activity-using-process-accountin...

http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-...

> Cron'ом history пользователя копировать в файл

а что делать, если мы из bash'а запустим (z|*)sh и в нем уже начнем гадить?

Очевидно, убрать из системы (z|*)sh :-)

Кейлогер.

Немного не в тему, но вдруг тебе будет интересно, бывают вот такие штуки:

http://www.thinkgeek.com/gadgets/security/c49f/

Аппаратный кейлогер. Разрешаем доступ только с определённых консолей, на каждую по кейлогеру, PROFIT.

> Cron'ом history пользователя копировать в файл

Баш пишет историю только на выходе. Можно вместо exit делать kill -9 $$...

Суть удалённой консоли, тут уже никакие кейлоггеры не доступны. А вообще интересно, кто как решает проблему аудита у себя на серверах? Или везде царит полное доверие и несоблюдение требований ФСБ? :)

audit

> Очевидно, убрать из системы (z|*)sh :-)

export HISTFILE=/dev/null && bash

http://www.xgu.ru/wiki/LiLaLo

script или screen? А еще есть атрибут в chatr — доступ только на append

man script
Или ковырять screen в качестве login shell.

>куда копать следует?

копайте в сторону SELinux.

Всё, что явным образом не разрешено является запрещённым действием.

GNOME Zeitgeist эта штука называется. Система тотального слежения за пользователем.

> Баш пишет историю только на выходе. Можно вместо exit делать kill -9 $$...

Смотря как настроено. Но достаточно ставить пробел впереди команды для того, чтобы ничего не попадало в history (для благих целей придумано - не записывать команды с паролями, к примеру).

> Но достаточно ставить пробел впереди команды для того, чтобы ничего не попадало в history (для благих целей придумано - не записывать команды с паролями, к примеру).

У меня прямо вместе с пробелом попадает в историю.

> копайте в сторону SELinux.

Всё, что явным образом не разрешено является запрещённым действием.

Я думаю там есть полный аудит всего и вся

paradise ~ # eix -I bash
[I] app-shells/bash
Available versions: 3.1_p17 3.2_p39 (~)3.2_p48 (~)3.2_p48-r1 4.0_p28 (~)4.0_p33 4.0_p35 {afs bashlogger examples mem-scramble +net nls plugins vanilla}
Installed versions: 4.0_p35(02:37:48 03.11.2009)(afs bashlogger examples net nls plugins -mem-scramble -vanilla)
Homepage: http://tiswww.case.edu/php/chet/bash/bashtop.html
Description: The standard GNU Bourne again shell
в /var/log/messages следующее:

Dec 23 19:34:25 paradise -su: HISTORY: PID=8554 UID=0 tail /var/log/messages
Dec 23 19:34:40 paradise -su: HISTORY: PID=8554 UID=0 tail 3 /var/log/messages