ฉันต้องการเห็นคำสั่ง bash ทั้งหมดที่รันบนเซิร์ฟเวอร์ Linux ในหลายบัญชีผู้ใช้ การกระจายเฉพาะที่ฉันใช้คือ CentOS 5.7 มีวิธีในการค้นหาไฟล์. bash_history ทั่วโลกบนเซิร์ฟเวอร์หรือเป็นกระบวนการที่ใช้ในบ้านมากขึ้นlocate | cat | grepหรือไม่ (ฉันสั่นเพียงแค่พิมพ์ออกมา)
คำตอบ:
ใช้getentเพื่อระบุไดเรกทอรีบ้าน
getent passwd |
cut -d : -f 6 |
sed 's:$:/.bash_history:' |
xargs -d '\n' grep -s -H -e "$pattern" ถ้าโฮมไดเร็กตอรี่ของคุณอยู่ในตำแหน่งที่รู้จักกันดี, มันอาจจะง่ายเหมือน
grep -e "$pattern" /home/*/.bash_historyแน่นอนถ้าผู้ใช้ใช้เชลล์ที่แตกต่างกันหรือค่าที่ต่างกันของHISTFILEสิ่งนี้จะไม่บอกคุณมาก $PATHมิได้นี้จะบอกคุณเกี่ยวกับคำสั่งที่ไม่ได้ดำเนินการผ่านเปลือกหรือประมาณนามแฝงและฟังก์ชั่นและตอนนี้เอาออกคำสั่งภายนอกที่อยู่ในไดเรกทอรีของผู้ใช้บางส่วนในช่วงต้นของผู้ใช้ หากสิ่งที่คุณต้องการทราบคือสิ่งที่ผู้ใช้เรียกใช้คำสั่งคุณต้องบัญชีกระบวนการหรือระบบการตรวจสอบที่ดีขึ้น; ดูการตรวจสอบกิจกรรมบนคอมพิวเตอร์ของฉัน , จะตรวจสอบว่ากระบวนการทำงานนานแค่ไหนหลังจากเสร็จสิ้น? .
getent passwd | cut -d : -f 6 | sed "s:$:/.bash_history:" | xargs -d'\n' -I{} sh -c "[ -f {} ] && echo {}" | xargs -d'\n' grep -Hn -e "$pattern"
{}แบบนี้มันอันตรายมาก ชื่อไฟล์ถูกแก้ไขโดยตรงในสคริปต์ หากคุณมีชื่อไฟล์ (ที่นี่: ชื่อผู้ใช้) ที่มีคำพูด$(rm -rf /)หรือ;rm -rf /;คำสั่งจะถูกดำเนินการ ส่งชื่อไฟล์เป็นอาร์กิวเมนต์ไปยังเชลล์สคริปต์เสมออย่าใช้{}กลไกfind หรือ xargs
find /home -name .bash_history | xargs grep <string>อีกวิธีหนึ่งคือ:
grep string $(find /home -name .bash_history)โปรดทราบว่าสิ่งนี้ครอบคลุมไดเรกทอรีบ้านในสถานที่เริ่มต้น มันจะเป็นการดีกว่าที่จะแยกวิเคราะห์/etc/passwdหรือเรียกใช้getentและแยกวิเคราะห์ผลลัพธ์ของมัน
for i in $(getent passwd | cut -d: -f6 ); do grep string ${i}/.bash_history; doneคุณสามารถทำได้
find /home | grep bash_history | xargs grep "whatever"แต่ฉันไม่คิดว่ามันดีกว่าที่คุณคิด