如何最好地跟踪新手管理员的冒险经历

我有此用户，但其sudo权限有限，但是他设法不时搞砸。我想密切注意他的冒险历程，以便我能以更少的挖掘力来弥补任何损失。理想情况下，我希望具有以下功能的服务可以很好地集成和呈现

• 曲目外壳输入和输出一样ttyrec（或者script或者sudo如果日志记录设置），并可以重放像ttyplay（或会话scriptreplay或sudoreplay）兼容性与ncurses的程序将是很好的，但不是必需的，ttyrec显然可以做到这一点。
• 跟踪文件访问，创建和修改。理想情况下，每次更改或删除文件时，它也可以备份文件。

到目前为止，我已经找到了一些我必须设置的工具才能获得大多数所需的功能，但是我还没有遇到能够很好地集成它们的OSS产品（Lynis社区版在功能上还不清楚） 。

• 我可以把ttyrec $(mktemp)，script $(mktemp)或sudo -u $USER -i（使用sudo的日志记录设置）在其.bashrc登录的外壳IO。
• 建立审计跟踪一些目录的文件访问，像/usr，/etc，/var。
• 他登录时创建LVM快照，但这有点过头了，并且可能会降低系统性能。

编辑： ttyrec似乎是一个更好的选择script，它将满足我所有的IO日志记录要求。现在，我需要找到一种记录文件操作的好方法。

如有任何建议或最佳做法的建议，我将不胜感激。

也许您可以鼓励管理员使用良好的日志记录做法。Gnu Screen很好地做到了这一点。它增加了比您想要的功能更多的功能，并且还具有切换日志记录的功能，因此如果需要，他可以自行关闭日志记录。它缺少重播功能，但是它可能是解决方案的一部分，因为它在登录时会跟踪大多数输入和输出。

在您的用例中，您希望添加deflog on到screenrc文件中以使新的Windows默认登录。

然而，这具有用户可切换的缺点。

您可以使用Monit完成文件监视，Monit监视文件校验和以查看更改，还可以检查各种服务的条件。将其与诸如cronjob上的rsync之类的东西结合在一起（因为无论如何您都应该有类似的东西），并且您对服务器上正在发生的事情有一个相当扎实的想法，特别是如果您在屏幕上打开非常紧凑的时间戳记并信任您的用户不要摆弄日志记录设置。

通过结合使用这些工具，您应该拥有一个相当健壮且轻巧的系统，使您可以在确保基本可挽救性的同时，对用户保持警惕。