是否可以使用 bash 或 Python 在 unix 服务器上捕获用户活动

Question

我和其他一些人一起在服务器上工作，由于无法解释的事件，他们更改了文件、符号链接等。不幸的是，他们都具有相同级别的文件系统权限。有没有一种简单的方法来捕获活动：登录/注销时间（我知道“最后”命令显示了这一点）、更改的文件（删除、添加等）以及创建、更改或删除的符号链接？我想知道在 bash 还是 Python 中做这样的事情是否更直接，以及该朝哪个方向发展？感谢您的所有帮助。

Answer 1

首先，您确实应该将您的用户帐户锁定在服务器上。但如果您确实想监视文件系统内的活动，您有几个选择。

1. 编写一个脚本来解析注销时的 bash 历史记录，并节省注销时间（较差）
2. 安装 iwatch，然后将其指向要监视的位置，并编写一个脚本来在日志文件发生更改时记录相关信息。

如果您想监控用户活动，就好像您在监视他们一样，那就有点困难了。特别是因为有些东西，例如 sftp，实际上并没有在 bash_history 中创建任何条目。这是一个完全不同的子系统。

最好的办法就是监视用户有权访问的文件系统区域的更改并记录它们，这是锁定用户的另一个原因。 Linux 拥有用户文件夹是有原因的。每个人都有自己的沙箱，这样他们就不会互相接触。