как защитить историю всех пользователей в Linux без файла .bash_history

Есть ли способ полностью защитить свою команду history?

Да, у пользователя есть возможность полностью защитить историю своих команд. Они должны просто сделать

unset HISTFILE

, и они полностью защищены от любого шпионажа за их историей, так как она больше не будет записана на диск.

Не полагайтесь на .bash_history . Включите учет (читайте о accton(8) и друзьях), затем дайте людям права администратора только через sudo. Выполните команды журнала sudo и отправьте журналы на удаленную машину.

Я столкнулся с ситуацией, когда пользователь редактировал и / или удалял свой .bash_history, чтобы замести следы.

Простое решение, которое я разработал, заключалось в использовании chattr + a, которая позволяет только добавлять файл, но не редактировать или удалять его. Кроме того, только пользователь root может установить или отключить его.

Для развертывания для всех текущих пользователей, su для root и запустите:

chattr +a /home/*/.bash_history

Чтобы забрать всех без исключения новых пользователей, я написал простой скрипт для запуска этой команды каждые 30 минут.

Имейте в виду, что прежде чем вы сможете удалить каталог пользователя в случае удаления пользователя, его необходимо изменить. Это можно сделать, запустив:

chattr -a /home/username/.bash_history

Это оказалось весьма эффективным. Теперь мне просто нужно найти эквивалент в AIX.