ttysnoop->linux下的Freebsd-watch

原帖地址:http://sysadmingear./2007/10/how-to-install-ttysnoop-on-linux.html
翻译加整理 ttysnoop是一个很帅的管理工具,它允许管理员查看其它用户在登陆的终端做些什么.对安全管理很有用哟.
因为作者习惯上都默认安装ssh的，想不重新编译安装直接使用但是发现不行，至少目前为止还没有找到解决办法所以就编译安装了。
安装openssh
地址:http://openbsd.md5.com.ar/pub/OpenBSD/OpenSSH/portable/
#wget http://openbsd.md5.com.ar/pub/OpenBSD/OpenSSH/portable/openssh-5.1p1.tar.gz
#tar zxvf openssh-5.1p1.tar.gz
#cd openssh-5.1p1
#export LOGIN_PROGRAM="/sbin/foo_login" 这行一定要注意哟~~
#./configure --prefix=/usr/local/sshd --sysconfdir=/etc/ssh --without-zlib-version-check --with-pam --with-tcp-wrappers
#make
#make install
修改配置文件/etc/ssh/sshd_config file的以下参数
PasswordAuthentication yes
UseLogin yes
因为笔者已经默认安装过sshd，这时已经有默认的sshd启动脚本了，需要做的就是把/usr/local/sshd/sbin/sshd拷贝到/usr/sbin/sshd这样机器还是默认起动sshd，
只是以后再启动的就是我们新编译安装的了,当然了，为了使配置的参数马上生效我们需要
#service sshd restart 安装ttysnoop
地址:http://freshmeat.net/projects/ttysnoop/
#wget http://freshmeat.net/redir/ttysnoop26/50871/url_tgz/ttysnoop-0.12d.k26.tar.gz
#tar xzvf ttysnoop-0.12d.k26.tar.gz
#cd ttysnoop-0.12d.k26
#mkdir -p /usr/man/man8/
#make
#make install
#cp ttysnoops /sbin/foo_login 这里一定要看清楚是ttysnoops哟~
#mkdir /var/spool/ttysnoop
#cp snooptab.dist /etc/snooptab
#vi etc/snooptab
注释掉除"* socket login /bin/login"以外的所有行
或者说注释掉下面两行:
#ttyS1          /dev/tty7       login   /bin/login
#ttyS2          /dev/tty8       login   /bin/login
现在你可以通过w或者who命令查看当前登陆到终端的用户
#w
 12:56:37 up  1:19,  3 users,  load average: 0.00, 0.00, 0.00
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
root     tty1     -                12:32   24:06   0.03s  0.03s -bash
root     pts/0    192.168.100.29   11:39    1:04m  0.11s  0.11s -bash
root     pts/3    192.168.100.29   12:43    8:59   0.06s  0.06s -bash 查看
#ttysnoop 3
Connected to 3 snoop server...
Ctrl+'\' (ASCII 28) to suspend, Ctrl+'-' (ASCII 31) to terminate.
Snoop password: (此处输入root密码)
Verified OK... Snoop started. 嘿嘿，这样你终端显示的就和pst/3登陆用户的输入输出同步了
ctrl+\是暂停输出信息的
ctrl+-是退出的
注意，不要输入东西哟，你现在输入的东西直接在那个终端执行!!!
good luck