A variável
HISTFILE é de extrema importância para o administrador do sistema, pois podemos conferir todos os comandos que foram executados pelo usuário.
A seguir vamos configurar esta variável para ela fique read-only e o usuário não possa alterá-la.
Geralmente para burlar o HISTFILE o usuário loga-se e abre outro shell para que a variável seja trocada. Para que isto não ocorra editamos os arquivos
/etc/profile e
/etc/bashrc ou em algumas distribuições,
/etc/bash.bashrc.
O processo de customização do HISTFILE é simples e de fácil implementação, para isto basta ter a senha do root.
Para customizar a variável, faça o seguinte.
Para exemplificar o arquivo de log do arquivo de HISTFILE, considere os seguintes dados:
Login: uxhsilva logou-se no dia 23/05/2006 as 09:00:00 Hs
# echo $HISTFILE
/.HISTORY/uxhsilva/05_2006/history_uxhsilva_23052006_090000.log
A linha acima é o caminho e nome do arquivo do HISTFILE. O conteúdo dele, por exemplo, é esse:
Login : uxhsilva_root from pts/2 --> (179.16.1.204) - 23/05/2006 09:00:00 - PID : 14213
Logout : uxhsilva_root from pts/2 --> (179.16.1.204) - 23/05/2006 11:58:07 - PID : 14213
ls -l
clear
ll bin
ls -l
clear
ls -lx
crontab -l
cd /var/spool
cd cron
ll
cd tabs/
ll
cat root
exit
No exemplo acima a string "uxhsilva_root" indica que o usuário uxhsilva tem privilégios de root, pois é identificado com o comando "id -un".
O que está entre parênteses é o IP de onde este usuário abriu a sessão, quer dizer, a sessão originou-se do IP: 179.16.1.204.
Na customização do HISTFILE será criado um arquivo de controle para toda vez que os usuários postgres, root e oracle logarem-se.
Este arquivo fica em /var/log/login/root.2323 (onde 2323 é o PID), por exemplo.
Este arquivo contém o nome do arquivo de HISTFILE, este arquivo serve para monitorar ações de determinados usuários do sistema. Pode-se criar um script que roda a cada minuto verificando a existência destes arquivos no /var/log/login e enviar por e-mail os comandos que foram executados por determinado usuário.
Para customizar o HISTFILE siga os passos abaixo:
Como root execute os seguintes passos:
1. Criar diretório do HISTFILE e de log:
# mkdir /.HISTORY
# chmod 777 /.HISTORY
# mkdir /var/log/login
# chmod 777 /var/log/login
# cp /etc/profile /etc/profile.ori
# cp /etc/bashrc /etc/bashrc.ori
Ou
# cp /etc/bash.bashrc /etc/bash.bashrc.ori
2. Incluir linhas de código no /etc/profile.
3. Incluir linhas de código no /etc/bashrc ou no /etc/bash.bashrc (depende da distribuição do seu
Linux).
Após executar o passo 1, inclua as linhas abaixo no /etc/profile, ao final do mesmo: