Koliko mi je poznato samo patchovanje moze da pomogne. I ja sam to trazio.

Hm, čudno. S obzirom da input mogu vidjeti u /home/user/.bash_history, ali nije to to, jer nema outputa i user to može obrisati ako hoće..

Ma zar nije moguće postaviti neki bash redirection stdin, stdout i stderr u file? Naravno da se sam pokrene kad se user logira.

P.S. nesto slično ovome:

http://www.elitesecurity.org/tema/5372/0#42232

"less -f /dev/ttyx" - probao sam al ne dobijam ništa...

Pa, mozda da umesto /bin/bash postavis neki svoj prog koji ce da loguje sve i prosledjuje i pravom bashu.
Jedino sto cim korisnik predje u neki drugi shell ti si odsecen...

Instaliraj program ttysnoop, i pročitaj manual. Ukratko, potrebno je da zameniš, ali ne shell kao što ovde neki predlažu, već login program (Damire, jel ti se upalila lampica?) ttysnoops serverom. Postupak će naravno zavisiti od toga ko poziva login, a to će najčešće biti getty (za login preko konzole i fizičkih terminala), in.telnetd ili sshd (za remote login). Ovo je radilo pre par godina, ne znam da li program radi i sa 2.6 kernelima, i koliko se uopšte menjao tty kod od tada.

U jednom starom pheraku je bilo kako se u kernelu ubacuje taj sniff, znaci gledo sam kako radi loodilo, ali nesto ga nije bas jednostavno ubaciti,

Nema nikakve potrebe za intervencijama u kernelu, sve to može u userlandu da se odradi.

Probati ću ovo pogledati. Inače je kernel 2.4.

u pitanju je bio tzv. tty hijacking, samo sto je ta tehnika daleko fleksibilnija i moze se upotrebiti za mnogo vise od obicnog logovanja. userland bi trebalo da bude dovoljno fleksibilan za obicno snifovanje konzole.

Ima jedan dobar programcic od TESO-a ...cini mi se da se zove dirty.c
Pomocu njega je (ako ste root) moguce pisati po tudjim terminalima sa ukljucenim escape
sekvencama, pa je npr. ako je neki korisnik ssh-an na neki drugi stroj moguce izvrsavati
naredbe da tom drugom stroju.