1、创建行为审计日志文件
touch /var/log/Command_history.log
2、将日志文件的所有者改为权限低的用户NOBODY
chown nobody.nobody /var/log/Command_history.log
3、赋予所有用户对日志文件写的权限
chmod 002 /var/log/Command_history.log
4、使所有用户对日志文件只有追加权限
chattr +a /var/log/Command_history.log
5、编辑/etc/profile,增加如下:
export HISTORY_FILE=/var/log/Command_history.log
export PROMPT_COMMAND=`{ date "+%Y-%m-%d %T ##### USER:$USER IP:$SSH_CLIENT PS:$SSH_TTY #### $(history 1 | { read x cmd; echo "$cmd"; })"; } >> $HISTORY_FILE`
6、测试:一个窗口输入命令,另个窗口tail -f查看下日志文件,有记录则表示配置成功