0428 User Monitoring 해킹기록 확인

1) /etc/profile 을 열어 다음의 내용을 추가한다.

 

#User Monitoring

USER=`who am i | awk '{print $1}'`

TTY=`tty`

if [ -n $TTY ] ; then

WHERE=`who am i | awk -F"("'{print $2}' | awk -F")"'{print $1}'`

export HISTFILE=/backup/user_command/${USER}_${WHERE}_`date+%m%d%H%M`.txt

fi

2)2) 디렉터리(폴더) 생성

mkdir -p /backup/user_command

 

3)디렉터리에 권한 설정

chmod 777 /backup/user_command

 

 

해킹 기록 확인하기

 

ctl+alt+f3터미널에서 user4로 로그인하여 아무 명령어나 입력해 본다.

(원래 user4__파일 뒤에 날짜까지 쓰여있어야함)

다른 터미널에서 user4로 실행했던 명령어가 보인다.