Jak nyní zaznamenáváte jejich aktivity? Nejjednodušší je zablokovat jim odpalování granátů z vi.
# vi /home/user/.exrc
set exrc
set shell=/bin/false
# chown root:root /home/user/.exrc
# chmod 644 /home/user/.exrc
# chattr +i /home/user/.exrc
Pokud k protokolování jejich příkazů používáte speciální shell, můžete změnit vi tak, aby používala pouze tento shell.
Můžete také zapnout účtování procesů ( s/can/should/ !)
Poté můžete použít:
lastcomm(1)
abyste viděli spuštění příkazu a zda byly spuštěny po rozvětvení, s nebo bez exec.
V kombinaci s hostitelským IDS by vám to mělo poskytnout to, co potřebujete, "aby nad ním mohla být vykonána králova spravedlnost."
Mluvíte o historii shellu? vi shell mode (:sh ) spustí výchozí shell uživatele Pokud je to bash, můžete se ujistit, že protokolování historie je vždy povoleno úpravou globálního /etc/bashrc a přidáním:
set HISTFILE=~/.bash_history
shopt -s histappend
PROMPT_COMMAND='history -a'
to zajistí, že každý uživatelský příkaz bude přihlášen do souboru, nebude přepsán a bude aktualizován pokaždé, když se objeví výzva shellu.
Upozorňujeme, že uživatelé to mohou přepsat ve svém osobním ~/.bashrc takže to není absolutní záruka, že k protokolování dojde.
Některé verze vi (jako nvi) podporují bezpečný režim, který zakazuje přístup k shellu, a to spuštěním vi jako nvi -S . Globální alias můžete nastavit v /etc/bashrc vynutit tento režim také ve výchozím nastavení.
Všimněte si, že obecně je problém uživatelů dostat se do shellu neočekávanými prostředky klasickým unixovým problémem. Neexistuje způsob, jak to úplně zakázat, nejlepší, co můžete udělat, je pokusit se omezit přístup ve výchozím nastavení. Sofistikovaný uživatel (nebo dokonce uživatel, který umí používat google) tato omezení vždy dokáže obejít. Pokud například uživatel nechce, aby se zaznamenávala jeho historie shellu, mohl vždy spustit novou kopii shellu s jakýmikoli možnostmi, které chtěl použít.
Zde je skvělý popis toho, jak vynutit protokolování v bash a způsoby, jak lze protokolování obejít.
Konečně, uvažovali jste o tom, že si s uživatelem promluvíte, abyste zjistili, co dělá? V 99 % případů může jednoduchá verbální komunikace objasnit jakýkoli zmatek. Pokud zaznamenáváte aktivitu tohoto uživatele, protože mu nedůvěřujete, možná s ním můžete o svých obavách mluvit.