Linux 配置用户命令日志审计功能

最新推荐文章于 2024-06-04 16:40:20 发布
最新推荐文章于 2024-06-04 16:40:20 发布
阅读量8.7k 收藏 15
点赞数 2
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hwh1231/article/details/53261406
版权

目的:监控登陆上linux 系统服务器的用户,所使用过的命令。


采用以下步骤配置用户命令日志审计功能:

1.创建用户审计文件存放目录和审计日志文件 ; 
mkdir -p /var/log/usermonitor/
2.创建用户审计日志文件;
echo usermonitor >/var/log/usermonitor/usermonitor.log
3.将日志文件所有者赋予一个最低权限的用户;
chown nobody:nobody /var/log/usermonitor/usermonitor.log
4.给该日志文件赋予所有人的写权限; 
chmod 002 /var/log/usermonitor/usermonitor.log
5.设置文件权限,使所有用户对该文件只有追加权限 ;
chattr +a /var/log/usermonitor/usermonitor.log
6.编辑vim /etc/profile文件,添加如下脚本命令;
export HISTORY_FILE=/var/log/usermonitor/usermonitor.log
export PROMPT_COMMAND='{ date "+%y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5}")  #### $(whoami)  #### $(history 1 | { read x cmd; echo "$cmd"; })"; } >>$HISTORY_FILE'
7.使配置生效
source  /etc/profile

审计时查看/var/log/usermonitor/usermonitor.log文件即可,它会记录登上服务器所有用户使用的命令。为了更安全,还可以将改文件打包压缩,ftp至其它本地。
Hwh1231
关注
  • 2
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
LAUREL:一款功能强大的Linux事件日志审计和转换工具
小王的储物间
02-07 270
io/laurel/blob/master/etc/audit/plugins.d/laurel.conf)拷贝到/etc/audisp/plugins.d/laurel.conf或/etc/audit/plugins.d/laurel.conf,具体取决于审计器版本。io/laurel/blob/master/etc/laurel/config.toml)拷贝到/etc/laurel/config.toml,并对其进行自定义配置。将LAUREL注册为一个audisp插件:将提供的[
linux 开启审计功能及规则配置
m0_74282605的博客
02-09 2316
【推荐阅读】#查询审计功能#审计日志文件目录#编辑审计配置文件加入以下配置规则:#自定义审计规则#重启审计服务#查询审计配置规则。
15、Linux日志审计
carmi的博客
10-30 114
Linux日志审计 目录Linux日志审计1、日志文件的功能和分类2、日志文件保存位置和文件介绍3、管理日志服务的配置文件4、内核及系统日志5、日志消息的级别6、日志记录的一般格式7、用户日志分析8、程序日志分析9、日志服务器搭建10、补充1、日志文件的功能和分类 日志功能 用于记录系统、程序运行中发生的各种事件。 通过阅读日志,有助于诊断和解决系统故障日志。 文件的分类 1、内核及系统日志:...
什么是日志审计,为什么要使用日志审计功能
最新发布
mykeykeyab的博客
06-04 291
日志审计是一种用于全面收集企业IT系统中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志(包括运行、告警、操作、消息、状态等)并进行存储、监控、审计、分析、报警、响应和报告的系统。常用的日志审计功能有:上网日志、程序日志、屏幕日志、 文件操作日志、打印日志、流量的日志等,审计这些日志有助于帮助管理者及时了解客户端日常使用状况。自动化:系统能够自动进行日志的收集、存储、监控和分析等操作,减少人工干预和错误率。实时性:系统能够实时监测和分析日志事件,及时发现潜在的安全威胁和异常活动。
X18-操作系统 linux日志审计
h1825819493的博客
05-19 871
路径:/etc/logrotate.conf正常普通程序服务都可以通过这四个设置进行配置这两个文件的优先级高于上面的优先级。
日志审计功能配置
Jie_Chang的博客
10-06 3323
日志审计
rsyslog所有用户日志审计
12-22
对于普通用户日志审计,可以使用bash的history功能来记录用户命令操作记录。在上面的部分内容中,添加了以下命令: vim /etc/profile 在/etc/profile 末尾添加export HISTORY_FILE=/var/log/userAudit.log ...
Linux audit 日志审计服务安装及使用
01-12
Linux audit 日志审计服务安装及使用 Linux audit 是一种强大的日志审计服务,可以将审计记录写入日志文件,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文将详细介绍 Linux ...
Linux操作系统之安全审计功能-Audit
10-10
本文将深入探讨Linux中的Audit功能,特别是在Kylin Linux Advanced Server release V10 (Tercel)环境下如何通过RPM包安装和启用审计功能。 Audit系统是一个强大的工具,它能够记录并分析系统的各种活动,包括用户...
Linux历史操作记录审计.docx
06-17
为了改进这一点,我们可以进行一些配置以增强日志审计功能。 首先,我们可以设置`HISTTIMEFORMAT`环境变量,以便在历史记录中包含命令执行的时间。例如,设置`export HISTTIMEFORMAT='%F %T '`会在每个命令前添加...
mysql8.0审计日志插件mariaDb安装失败记录
08-15
在MySQL 8.0中,审计日志是用于记录数据库操作的重要工具,它可以帮助管理员跟踪和审查用户对数据库的访问行为。然而,在尝试安装MariaDB的审计日志插件时,可能会遇到一些挑战。MariaDB的审计日志插件与MySQL 8.0...
linux进程退出开启日志审计及nessus扫描日志审计
08-27
linux进程退出、启动syslog日志进行了审计、对nessus扫描操作系统产生的日志进行审计
linux开启安全审计功能,Linux操作系统之安全审计功能
weixin_28932089的博客
05-15 1万+
内核编译时,一般打开NET选项就打开AUDIT选项了。在系统中查看audit是否打开,root 用户执行:service auditd status我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,如果我们想实现监管企业员工的操作行为就需要开启审计功能,也就是auditd。1、首先执行以下命令开...
Linux用户登录次数限制、开启连接超时、开启审计日志
qq_43164571的博客
07-30 5558
主要为了防止暴力破解用户密码 1、修改PAM配置 限制终端方式登录: [root@localhost ~]# vim /etc/pam.d/login # 添加如下一行: auth required pam_tally2.so deny=3 unlock_time=100 even_deny_root root_unlock_time=300 deny: 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户 unlock_time:
Linux安全之auditd审计工具使用说明
月生的静心苑
11-28 5904
audit 我们可以使用auditctl临时配置规则,服务重启失效,如果需要配置永久生效,我们需要将规则写入到配置文件中。auditd审计规则分成三个部分,控制规则:这些规则用于更改审计系统本身的配置和设置。文件系统规则:这些是文件或目录监视。使用这些规则,我们可以审核对特定文件或目录的任何类型的访问。系统调用规则:这些规则用于监视由任何进程或特定用户进行的系统调用。使用 ausearch ,您可以过滤和搜索事件类型。它还可以通过将数值转换为更加直观的值(如系统调用或用户名)来解释事件。
Linux服务器--基线检查
热门推荐
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
05-18 1万+
基线检查——安全基线配置核查(或检查)的简称,指为满足网络安全规范要求,服务器设备安全配置必需达到的最低安全标准,例如服务器上的账号、口令、日志、认证授权合规性配置等。
Linux 启动 cron 日志审计
岳麓丹枫
10-20 1454
【代码】Linux 启动 cron 日志审计
linux日志审计配置
05-26
Linux系统中进行日志审计可以帮助管理员更好地了解系统的运行状况和发现潜在的安全问题。下面是一个简单的步骤,用于配置Linux系统的日志审计。 1. 安装 audit 工具 在大多数 Linux 发行版中,audit 工具已经预安装。如果没有,可以使用以下命令安装: ``` sudo apt-get install auditd # Debian/Ubuntu sudo yum install audit # CentOS/RHEL ``` 2. 配置审计规则 审计规则用于确定哪些事件需要被记录下来。可以编辑 /etc/audit/rules.d/audit.rules 文件来定义审计规则。这个文件可能已经存在了,如果不存在,可以手动创建。 以下是一个例子: ``` # This file contains the auditctl rules that are loaded # whenever the audit daemon is started via the init scripts. # The rules are simply the parameters that would be passed # to auditctl. # First rule - delete all -D # Increase the buffers to survive stress events. # Make this bigger for busy systems -b 8192 # Feel free to add below this line. See auditctl man page # for more information ``` 3. 启动 auditd 服务 配置完成后,启动 auditd 服务: ``` sudo systemctl start auditd ``` 4. 查看审计日志 审计日志存储在 /var/log/audit/audit.log 文件中。可以使用以下命令来查看日志: ``` sudo ausearch -i -ts today ``` 这将显示今天发生的所有审计事件。可以使用其他选项来指定时间范围、事件类型等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值