Ansible 安全 之【命令审计】

最新推荐文章于 2024-04-14 08:00:00 发布
最新推荐文章于 2024-04-14 08:00:00 发布
阅读量2.5k 收藏
点赞数
分类专栏: ansible自动化运维管理工具 文章标签: 安全 bash linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yosigo_/article/details/120987271
版权
本文介绍了如何使用Ansible实现命令审计功能,包括设置审计日志文件、修改用户权限、配置环境变量以及利用PROMPT_COMMAND记录命令执行信息。此外,还详细阐述了日志轮换的配置步骤,确保审计日志的安全性和管理效率。最后,提到了在客户端如xshell中如何记录日志,以完整跟踪和记录命令操作。
摘要由CSDN通过智能技术生成

Ansible 安全 之【命令审计】

实现该功能要求如下:

1. 接受审计的登录用户默认shell必须为bash

2. bash版本至少3.00或以上

需要该要求的原因是实现功能的方法需要用到history命令的HISTTIMEFORMAT变量和PROMPT_COMMAND变量。

配置命令审计

1.创建一个审计日志文件 
mkdir /var/log/shell_audit
touch /var/log/shell_audit/audit.log

2.将日志文件所有者赋予一个最低权限的用户  
chown nobody:nobody /var/log/shell_audit/audit.log

3.给该日志文件赋予所有人的写权限  
chmod 002 /var/log/shell_audit/audit.log

4.设置文件权限,使所有用户对该文件只有追加权限  
chattr +a /var/log/shell_audit/audit.log

5.编辑/etc/profile在末尾添加下面内容
vim /etc/profile
...
HISTSIZE=2048
HISTTIMEFORMAT="%Y/%m/%d %T   ";export HISTTIMEFORMAT
export HISTORY_FILE=/var/log/shell_audit/audit.log
export PROMPT_COMMAND='{ code=$?;thisHistID=`history 1|awk "{print \\$1}"`;lastCommand=`history 1| awk "{\\$1=\"\" ;print}"`;user=`id -un`;whoStr=(`who -u am i`);realUser=${whoStr[0]};logDay=${whoStr[2]};logTime=${whoStr[3]};pid=${whoStr[5]};ip=${whoStr[6]};if [ ${thisHistID}x != ${lastHistID}x ];then echo -E `date "+%Y/%m/%d %H:%M:%S"` $user\($realUser\)@$ip[PID:$pid][LOGIN:$logDay $logTime] --- [$PWD]$lastCommand [$code];lastHistID=$thisHistID;fi; } >> $HISTORY_FILE' 

6. 刷新/etc/profile文件
source /etc/profile

查看命令审计

# 查看日志记录的命令信息
tail -f /var/log/shell_audit/audit.log
# 2021/10/27 10:01:27 root(root)@(192.168.15.1)[PID:17909][LOGIN:2021-10-27 10:01] --- [/root] 2021/10/27 10:01:27 hostname [0]
# 2021/10/27 10:05:03 root(root)@(192.168.15.1)[PID:17787][LOGIN:2021-10-27 09:51] --- [/root] 2021/10/27 10:05:03 pwd [0]

2021/10/27 10:01:27 	记录时间/命令执行完成时间
root(root)  	执行命令的用户(最初登录的用户) 
@(192.168.15.1) 	登录的IP
[PID:17909]    最初登录时的LOGIN产生的PID
[LOGIN:2021-10-27 10:01]    命令执行开始的时间
[/root] 	命令执行的当前目录
2021/10/27 10:01:27 	命令执行开始的时间
hostname  	执行的命令
[0] 	命令返回的状态码

设置audit.log的日志轮换

# 配置日志切割
vim /etc/logrotate.d/shell_audit 
/var/log/shell_audit/audit.log { 
    weekly  
    missingok 
    dateext 
    rotate 100
    sharedscripts 
    prerotate 
    /usr/bin/chattr -a /var/log/shell_audit/audit.log 
    endscript 
    sharedscripts 
    postrotate 
      /bin/touch /var/log/shell_audit/audit.log
      /bin/chmod 002 /var/log/shell_audit/audit.log
      /bin/chown nobody:nobody /var/log/shell_audit/audit.log
      /usr/bin/chattr +a /var/log/shell_audit/audit.log
    endscript 
}

# 执行以下命令,会对日志做切割,并在/var/log/shell_audit目录下生成一个audit.log-20211027格式的文件
logrotate -vf /etc/logrotate.d/shell_audit
# reading config file /etc/logrotate.d/shell_audit
# Allocating hash table for state file, size 15360 B

# Handling 1 logs

# rotating pattern: /var/log/shell_audit/audit.log  forced from command line (100 rotations)
# empty log files are rotated, old logs are removed
# considering log /var/log/shell_audit/audit.log
#   log needs rotating
# rotating log /var/log/shell_audit/audit.log, log->rotateCount is 100
# dateext suffix '-20211027'
# glob pattern '-[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9]'
# glob finding old rotated logs failed
# running prerotate script
# renaming /var/log/shell_audit/audit.log to /var/log/shell_audit/audit.log-20211027
# running postrotate script

客户端记录日志

我们在使用xshell的时候,可以设置日志记录。

在这里插入图片描述

重新连接,在xshell窗口输入命令,该该窗口的所有信息都会记录到日志文件中。

在这里插入图片描述
在这里插入图片描述

我的紫霞辣辣
关注
专栏目录
Ansible配置文件
weixin_72435491的博客
10-23 927
Ansible配置文件
mariadb-ansible-galera-cluster:使用Ansible自动安装MariaDB Galera Cluster
01-30
10. **安全与性能优化**:定期审计和优化配置,确保最佳的性能和安全性。例如,限制网络访问、加密通信、调整缓存大小等。 总结起来,使用Ansible部署MariaDB Galera Cluster是一个高效且可靠的方法,能够降低人为...
ansible-auditd:设置和配置linux auditd
05-04
Linux经过审核的角色 Ansible角色,用于设置和配置linux auditd。 可能的。 要求和依存关系 Ansible 已在以下版本上进行了测试: 2.2 2.5 2.10 操作系统 Ubuntu 16.04、18.04、20.04 Centos 7、8 Suse 12.x,15.x 剧本范例 只需将此角色包括在您的列表中即可。 例如 - hosts: all roles: - juju4.auditd 变数 现在没有什么特别的。 持续集成 这个角色有一个travis基本测试(适用于github),更先进于kitchen,还有一个Vagrantfile(测试/无用)。 默认的厨房配置(.kitchen.yml)是基于lxd的,而(.kitchen.vagrant.yml)是基于vagrant / virtualbox的。 一旦确保所有必要的角色都存在,
命令审计
weixin_34148456的博客
12-28 83
记录 时间,用户,地址,历史命令vim/etc/profile USER_IP=`who-uami2>/dev/null|awk'{print$NF}'|sed-e's/[()]//g'` PROMPT_COMMAND='date"+[%Y%m%d-%H:%M:%S$LOGNAMEfrom$USER_IP]:`history1...
Linux系统命令审计
weixin_34162695的博客
09-27 260
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux简单的命令审计(利用特殊权限stick_bit防删除位)
zhengyshan的博客
08-08 653
部署环境 Name Version CentOS 7 3.10.0-693.el7.x86_64 #1 SMP Tue Aug 22 21:09:27 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux     命令审计 在需要日志审计功能的服务器上执行以下命令即可 1、创建用户审计文件存放的目录,-p嵌套创建路径中不存在的目录 #...
Mastering Ansible
最新发布
05-19
5. 安全管理:自动化安全策略的实施和审计。 总的来说,《Mastering Ansible》这本书全面覆盖了Ansible的基础和高级功能,无论你是初学者还是经验丰富的IT专业人员,都能从中受益,提升你的自动化管理水平。通过...
Ansible-hubot-ansible.zip
09-18
Ansible 是一个开源自动化工具,广泛应用于IT基础设施的配置管理、应用程序部署以及任务自动化。...同时,Hubot 提供的日志和历史记录功能也有助于追踪和审计自动化操作,确保系统的稳定性和安全性。
ansible快速部署(适用centos7)
07-27
12. **Ansible Tower**: 对于更复杂的环境,可以考虑使用Ansible Tower,这是一个图形化的Web界面,提供了更多的功能,如作业调度、权限管理、审计日志等。 在实际操作中,根据`ansible部署文档.txt`和`ansible部署...
安全审计-Linux用户命令审计
wendr的博客
07-15 390
信息安全相关 - 建设篇 第二章 安全审计-Linux用户命令审计
使用 Shell 轻松搞定 Linux 命令审计
Free雅轩的博客
10-10 230
行操作发送给 rsyslog 服务进行处理,并将格式化后的日志存储在 ElasticSearch 中方便辅助系统管理者在线上故障定位时使用,也可以依此对 Linux命令审计做可视化的二次开发。我也不知道,大概是二八原则)的操作审计。一句话概括今天的主题:利用定制 Bash 源增加日志审计功能,并将用户操作发给 rsyslog 聚合,最后在 elasticsearch 做日志存储和查询。首先,当谈到 Linux 的操作审计需求时,大多数我们希望的是还原线上服务器被人为(误)操作时执行的。
自动化运维(二十八)Ansible 实战之最佳安全实践
Coder加油站的专栏
04-14 883
Ansible是直接操作我们服务器的工具,Ansible是否安全关系到整个生产和办公环境的数据安全,因此确保 Ansible安全地运行非常重要。以下是有关 Ansible 安全的详细介绍,包括如何安全地使用 Ansible 和一些最佳安全实践。
Ansible实现等保安全合规基线,运维尽力了!
yanggd1987的专栏
06-15 1915
对于安全合规基线,我们肯定希望能够对所有纳管的服务器进行批量更新,最好还可以根据最新的标准不断进行持续优化更新。因此我们使用`Ansible Playbook`进行统一管理,一方面安全合规基线配置是系统标准初始化的一部分,另一方面其也可以对基线进行单独的执行。...
自动化运维工具 ansible的安装 及远程操作命令
Nicolege678的博客
05-21 1487
简介 Ansible 是新出现的自动化运维工具,基于Python开发,集合了众多运维工具( puppet、cfengine、chef、func、fabric)的优点,实现了批量系统配置、批量程序部署、批量运行命令等功能。Ansible 只需要在一台普通的服务器上运行即可,不需要在服务器上安装客户端,因为Anisble是基于ssh远程管理,而Linux服务器大都离不开SSH,所以Ansible不需......
利用ssh-agent提升ansible使用的方便及安全
sinat_24354307的博客
02-15 892
利用ssh-agent提升ansible使用的方便及安全性 本文写作时间:2022-02-15 背景 ansible作为运维主机能够管理多台服务器,原理是通过ssh。ssh链接有2种方式:密码和秘钥对。 因用到了ssh所以也带来了一定的风险。 一、用密码的弊端 1.需要把服务器的密码明文写到ansible配置文件中。有一定的安全风险,不应采用 二、 用秘钥对的情况 1、如果秘钥对的私钥没有设置密码。有一定的安全风险,不应采用 2、如果管理的所有服务器都用的是同一个秘钥对。有一定的安全风险,不应采用 3、如果
ansible常用的命令集锦
margu_168的博客
05-11 251
ansible dockerhost -m shell -a “echo -e “\n” | telnet 118.122.92.222 18880 2>/dev/null | grep -w “Connected” |wc -l” -b --become-method su --become-user root #远程telnet,主要要处理输出。ansible-vault decrypt /etc/ansible/hosts 即可。
nginx日志文件自动切分以及过期文件删除
hellokitty136的博客
07-12 667
本文使用logrotate进行日志文件切分管理。
logrotate异常排查
微信公众号:大数据从业者
04-09 574
[root@dev240 logrotate.d]# /usr/sbin/logrotate -v /etc/logrotate.conf reading config file /etc/logrotate.conf including /etc/logrotate.d reading config file chrony reading config file cups reading c...
AnsibleWeb:可视化Ansible管理工具
"Ansible UI 是一种用于管理和操作Ansible自动化工具的图形用户界面,旨在提供更直观、易用的体验。...无论是选择商业的Ansible Tower还是开源的Ansible-djangoUI,都能为企业带来更便捷、安全的自动化运维体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值