远程执行的命令

Question

可以运行"ssh user@server $command“。此命令不会写入bash历史记录，因为没有打开shell。我想知道服务器上有什么标记来显示这个命令的证据。我想，在它执行时，它将出现在一个ps输出中，如果您运行"w“来查看连接的是谁以及它们正在运行的是什么？否则，如果在执行命令时没有看到该命令，那么服务器上是否还有其他有关此信息的信息？这是假设您正在运行一个命令，它不会修改文件，或者在某种程度上留下提交更改的痕迹。

是否有unix实用程序提供此类命令的日志记录？

Answer 1

如果您需要的实际上是一个审计日志，那么bash历史记录无论如何都是不合适的，因为这是可移动的/可由同一个用户编辑的。( bash历史记录基本上是为了该用户的利益而记录的，这样他们就可以重用以前的命令等等)。

为了获得正确的审计日志记录，您可以用审计 (在Linux上，同样的一般想法会适用于其他方式)连接内核，并让它记录系统事件(命令执行、文件访问、.)。这与您的需要相关，并将此日志存储在一个安全的位置(最好完全放在不同的系统上，以便在系统受损时不会丢失审计日志)。

Answer 2

除非相应的用户没有日志记录shell，比如苏丹(默认情况下，也拒绝运行类似这样的命令)，否则运行的命令将不会保存到任何地方。您将能够在日志(/var/log/secure )和最后一个命令中看到各个用户登录的情况。