¿Cómo puedo ver el historial de comandos de otro usuario?
Soy un administrador en mi máquina. Puedo ver el historial normal viendo /home/user_name/.bash_history pero no puedo ver los comandos de ese user_name cuando estaban haciendo sudo.
¿Hay alguna manera de ver todos los comandos ejecutados por un usuario?
En los sistemas operativos basados en Debian, al hacertail /var/log/auth.log | grep username se obtiene el historial de sudo de un usuario. No creo que haya una forma de obtener un historial de comandos unificado de los comandos normales + sudo de un usuario.
En los sistemas operativos basados en RHEL, tendría que comprobar /var/log/secure en lugar de /var/log/auth.log.
Si el usuario emitió un comando como en sudo somecommand, el comando aparecerá en el registro del sistema.
Si el usuario generó un shell con, por ejemplo, sudo -s, sudo su, sudo sh, etc, entonces el comando puede aparecer en el historial del usuario root, es decir, en /root/.bash_history o similar.
# zless /var/log/auth* es tu amigo aquí. Abre incluso los archivos comprimidos. Puedes saltar entre ellos con :n hacia delante o :p hacia atrás.
Alternativamente, puedes usar # journalctl -f -l SYSLOG_FACILITY=10 por ejemplo. Lea más sobre esto en el wiki de Arch Linux
La lógica se aplica a muchos otros objetivos.
¿Y cómo leer el .sh_history de cada usuario desde el sistema de archivos /home/? ¿Y si hay miles de ellos?
#!/bin/ksh
last |head -10|awk '{print $1}'|
while IFS= read -r line
do
su - "$line" -c 'tail .sh_history'
done
Aquí es el script.