完善bash历史命令审核

最新推荐文章于 2022-05-17 18:27:01 发布
最新推荐文章于 2022-05-17 18:27:01 发布
阅读量1.5k 收藏
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/reyleon/article/details/17451717
版权

1. 下载bash-4.2版本源码包,修改其中的源代码重新编译安装:


wget http://mirrors.ustc.edu.cn/gnu/bash/bash-4.2.tar.gz


2. 修改源码包中的根目录下 config-top.h 文件.

#define SSH_SOURCE_BASHRC
#define SYSLOG_HISTORY
去掉以上两项的注释即可


3. 修改源码包中根目录下 bashhist.c 文件,大概在705行.


/* void
bash_syslog_history (line)
     const char *line;
{
  char trunc[SYSLOG_MAXLEN];


  if (strlen(line) < SYSLOG_MAXLEN)
    syslog (SYSLOG_FACILITY|SYSLOG_LEVEL, "HISTORY: PID=%d UID=%d %s", getpid(), current_user.uid, line);
  else
    {
      strncpy (trunc, line, SYSLOG_MAXLEN);
      trunc[SYSLOG_MAXLEN - 1] = '\0';
      syslog (SYSLOG_FACILITY|SYSLOG_LEVEL, "HISTORY (TRUNCATED): PID=%d UID=%d %s", getpid(), current_user.uid, trunc);
    }
}
*/
注释以上的代码,添加一下代码:
# ---------------------------------------------------------------------------------------------------------------- #
void
bash_syslog_history (line)
     const char *line;
{
  char trunc[SYSLOG_MAXLEN];
     const char *p;
     p = getenv("NAME_OF_KEY");
  if (strlen(line) < SYSLOG_MAXLEN)
    syslog (SYSLOG_FACILITY|SYSLOG_LEVEL, "HISTORY: PID=%d PPID=%d SID=%d  User=%s USER=%s CMD=%s", getpid(), getppid(), getsid(getpid()),  current_user.user_name, p, line);
  else
    {
      strncpy (trunc, line, SYSLOG_MAXLEN);
      trunc[SYSLOG_MAXLEN - 1] = '\0';
      syslog (SYSLOG_FACILITY|SYSLOG_LEVEL, "HISTORY (TRUNCATED): PID=%d  PPID=%d SID=%d User=%s USER=%s CMD=%s", getpid(), getppid(), getsid(getpid()), current_user.user_name, p, trunc);
    }
}
# ---------------------------------------------------------------------------------------------------------------- #


4. 编译安装,默认安装在 /usr/local/bin/ 下


./configure && make && make install


5. 用以下脚本内容重写 /root/.bashrc 文件.

# .bashrc
fcomp="/tmp/file"
authorized_keys="$HOME/.ssh/authorized_keys"
secure="/var/log/secure"
record="/var/log/login"
rsager=$(awk -vp=$PPID '/Found matching RSA key/ && $0~p {f=$NF}END{print f}' $secure)
mkdir -p $record

while read LINE
do
        echo $LINE > $fcomp
        name=$(echo $LINE|awk '{print $3}')
        nowrsa=$(ssh-keygen -lf $fcomp|awk '{print $2}')
        if [[ $rsager = $nowrsa ]];then
                NAME_OF_KEY=$name
                readonly NAME_OF_KEY
                export NAME_OF_KEY HISTFILE="$record/$name"
        fi
done < $authorized_keys
rm $fcomp

[ "$BASH_EXECUTION_STRING" ] && logger -t -bash -s "HISTORY $SSH_CLIENT USER=$NAME_OF_KEY CMD=$BASH_EXECUTION_STRING " &>/dev/null

# User specific aliases and functions

alias rm='rm -i'
alias cp='cp -i'
alias mv='mv -i'

# Source global definitions
if [ -f /etc/bashrc ]; then
        . /etc/bashrc
fi

6. 修改 /etc/passwd 中的登录shell

sed -i.bak 's#/bin/bash#/usr/local/bin/bash#g' /etc/passwd
mv /bin/{bash,bash.bak}
ln -s /usr/local/bin/bash /bin/bash


重新登陆了即可.


参考: http://m.oschina.net/blog/78441

6子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
隐藏bash命令历史
10-09
介绍了linux操作系统下,几种如何隐藏bash命令历史记录的方法
参数处理-Shell传入参数的处理
刘红星的专栏
05-14 3404
原帖来自于http://www.cnblogs.com/FrankTan/archive/2010/03/01/1634516.html另外一个参考文章:http://www.ibm.com/developerworks/cn/linux/l-bash-parameters.html,其中关于getOpts的解释比较基础。       使用shell处理的时候对参数的处理是个基本模块,所以
bash: ifconfig: 未找到命令 解决方案
qq_34815358的博客
05-17 1万+
解决思路: 1、ifconfig 命令存在的情况 首先查看 ifconfig 命令在哪个目录下,顺便检查是否安装了这个命令(whereis ifconfig),然后查看(echo $PATH) PATH 中是否包含了这个目录,一般情况下是不包含的,所以需要将其添加到 profile 文件中(vi /etc/profile),在 /etc/profile 文件末尾追加一行"export PATH=$PATH:/usr/sbin",生效还需执行一下(source /etc/profile)。 2、ifco
bash --config command not found 报错
Golden-sun的博客
08-21 1627
原因是.sh脚本在windows系统下用记事本文件编写的。不同系统的编码格式引起的。 1、确保用户对文件有读写及执行权限 oracle@linux-106:~/RMAN/bin> chmod a+x test.sh 2、然后修改文件格式 (1)使用vi工具 oracle@linux-106:~/RMAN/bin> vi test.sh (2)利用如下命令查看文件格式 :set ff 或 :set fileformat 可以看到如下信息 fileformat=dos 或 f..
-bash: ./config :/bin/sh: bad interpreter:no such file or directory
xiashenbao的博客
02-03 791
操作系统:centOS6.8 记录一次在linux系统编译文件时遇到“-bash: ./config :/bin/sh: bad interpreter:no such file or directory”, 现象 直接使用./可执行脚本 不起作用,且报错“-bash: ./config :/bin/sh: bad interpreter:no such file or directory”,但是使用sh可执行脚本生效。 原因 我出现这个问题的原因是在yum下载telnet指令后,导致bas...
Bash常见的变量
invokerzhang的博客
12-01 381
Bash常见的变量 SHELL: 当前shell程序的路径。 BASH_SUBSHELL:当前在第几层子shell,从0开始数。
完善linux bash操作记录审核方法
数据库天地
09-06 207
做linux工作的同事一般都了解过bash历史记录的问题,我们之前的做法是通过修改bash源码,把历史记录发送到syslog即/var/log/messages这个文件里面,再在syslog配置文件里面加入*.* @Ip发送到远程日志服务器上面。期间有经历过一些多多少少的bug之类的,比如我们是通过key以root权限登录服务器的,记录的时候可能一条操作记录同时记录到几个人的key,普通用...
编译bash实现history的syslog日志记录
weixin_34007020的博客
07-25 205
一、下载bash源码包[root@repoother_x86_64]#http://vault.centos.org/6.9/os/Source/SPackages/bash-4.1.2-48.el6.src.rpm二、安装源码包[root@repoother_x86_64]#rpm-ivhbash-4.1.2-48.el6.src.rpm...
bash shell一些环境变量
艾小小雨的博客
05-22 1118
BASH 扩展到用于调用bash实例的完整文件名。BASHOPTS 启用shlell选项的冒号分隔的列表。列表中的每个词都是-s选项shopt内建命令的有效参数。出现在BASHOPTS的选项那些禁用了javascript报告上。如果这个变量在环境中当bash启动时,列表中的每个外壳选项将读取任何启动文件之前启用。此变量是只读。BASHPID 扩展为当前bash进程的进程ID。这不同于$$在某些
linux 用户行为审计
Amos.zheng's Blog
04-21 2931
在/etc/profile文件下添加如下shell即可(注意文件的权限问题!!) if ! test -z "$BASH_EXECUTION_STRING" ; then echo "===== $(date "+%F %T") $USER nologin cmd: $BASH_EXECUTION_STRING" >>/var/log/command.log el
bash命令使用详解
01-20
在Linux上采用bash作为标准,基本上它描述了对带有“.sh”扩展...使用vi命令创建新文件。 $ vi hello.sh 打开编辑器后,按如下所示编写。 #!/usr/bin/bash echo Hello World!! exit 0 第一行上的“#!/ usr / bin /
bash shell命令(一)
01-20
命令上 输入 init 3 命令 切换到dos界面 (文本模式) 输入 init 5命令 切换到图形界面 Shift+Ctrl+N 创建一个新的文件夹,在现有的窗口的新标签中启动一个新的shell...默认bash shell提示符是美元符号( $),这个
builtin命令 执行bash内建命令
01-09
builtin命令用于执行指定的bash内建命令, builtin命令调用的bash内建命令优先于同名的外部命令及同名的shell函数。 返回该内建命令执行的返回值,除非传递的不是bash内建命令或该内建命令被禁用。 语法格式: ...
C++执行Linux Bash命令的方法
08-25
今天小编就为大家分享一篇C++执行Linux Bash命令的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
awk 处理文本:行转列,列转行
热门推荐
不以物喜不以己悲
10-25 2万+
[root@centos ~]# cat f 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 [root@centos ~]# awk '{for(i=1;i<=NF;i++)a[NR,i]=$i}END{for(j=1;j<=NF;j++)for(k=1;k<=NR;k++)printf k==NR?a[k,j] RS:a[k,j] FS}'
shuf 命令: 随机排序文件
不以物喜不以己悲
11-01 2万+
有时候我们需要将文本的顺序打乱,也就是随机排序,我以前的做法是写个shell,利用内置bash 里的内置变量 $RANDOM 进行排序,然后打印。代码如下: while read line;do echo $RANDOM $line; done 这里取了个巧而已。虽然也能实现需求,但是如果遇到大文件,本身 shell 的效率是很低的。偶然得知系统本身有一个命令是专职干这事儿的,那就是 s
终于知道保存SCP日志了
不以物喜不以己悲
11-01 1万+
诸如 scp 这样的命令,打印在屏幕上的东西没法直接通过重定向来保存,因为它的输出并不是标准输出,那我要搞保存 scp 的日志怎么办呢?终于学到了一个不错的方法!利用 script 命令。如下所示: script -q /dev/stdout -c 'scp remotehost:path path' > /tmp/scp.log 参考:http://bbs.chinaunix.
yum 命令 update 与 upgrade 的区别
不以物喜不以己悲
12-04 1万+
yum -y update   升级所有包,改变软件设置和系统设置,系统版本内核都升级   yum -y upgrade   升级所有包,不改变软件设置和系统设置,系统版本升级,内核不改变 起初我还不信,一致认为这两个命令是一样的,我错了  但是,man yum 的说明我看不懂了: update If run without any
centos 6.8 yum 无法正常使用: 报Illegal instruction (core dumped)
不以物喜不以己悲
08-12 8746
今天有同事说有台服务器 yum 不能用, 执行yum安装包报错如下: # yum install python-dateutil Loaded plugins: fastestmirror, security Setting up Install Process Loading mirror speeds from cached hostfile Illegal instruction (
bash shell命令
最新发布
09-09
bash shell命令是一种在Linux和Unix操作系统中使用的命令行界面。它可以让用户通过键入命令来执行各种操作,例如浏览文件系统、管理进程、安装软件等。常用的bash shell命令包括ls、cd、mkdir、rm、cp、mv、grep、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值