Shell小技巧(八十五)Linux审计所有用户执行命令

最新推荐文章于 2023-12-30 13:32:54 发布
最新推荐文章于 2023-12-30 13:32:54 发布
阅读量633 收藏 1
点赞数 1
分类专栏: Shell技巧
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bigwood99/article/details/107681237
版权

history可以记录用户执行过的命令。

但是只有登陆到该用户环境下可以查询。

作为管理者,想审计这些执行记录,就比较麻烦了。

通过利用环境变量PROMPT_COMMAND,可以做到将所有用户执行命令的记录,集中记录在一个日志文件。

1.先创建一个日志文件

touch /var/local/mon.log

chmod 002 /var/local/mon.log

注意权限修改,权限时任意用户可以写,但是所有用户不能读执行,属主和同组用户不可写。

其目的就是达成可以记录但是不让看的目标。当然root用户特殊。

2.修改profile配置

vim /etc/profile  

最下方添加下面内容:

export HISTORY_FILE=/var/local/mon.log

export PROMPT_COMMAND='{ date "+%Y-%m-%d %T ## `hostname` ## $(who am i |awk "{print \$1}") ## $(who am i |awk "{print \$2}") ## $realsourceip ## $(history 1 | { read x cmd; echo " $cmd"; })"; } >>$HISTORY_FILE'

realsourceip=`who am i | awk -F"[()]" '{print $2}'`

source /etc/profile   生效

PROMPT_COMMAND略作说明:

date "+%Y-%m-%d %T                输出生时间

hostname                                      输出主机名

$(who am i |awk "{print \$1}")    输出用户名

$(who am i |awk "{print \$2}")      输出登陆方式

`who am i | awk -F"[()]" '{print $2}'`  即变量realsourceip,输出登陆ip

$(history 1 | { read x cmd; echo " $cmd"; })  输出用户执行的命令

所有数据以“##”作为分隔符

测试效果如下:

乐大师
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Linux历史操作记录审计.docx
06-17
Linux系统下可通过history命令查看用户所有的历史操作记录,在安全应急响应中起着非常重要的作用,但在未进行附加配置情况下,history命令只能查看用户历史操作记录,并不能区分用户以及操作时间,不便于审计分析。
Linux服务器安全审计工具与流程完全指南
dechen6073的博客
07-04 215
http://Linux.chinaitlab.com/server/860516.html 当今许多linux服务器都不是刚刚部署完毕的新机器,有专业的Linux系统管理员进行定期维护,IT技术人员往往需要为自己所使用的服务器在安全性方面负全责.如果大家的服务器遭到侵入,不仅所有的敏感信息很可能暴露无遗,服务器本身也许还会在攻击者手中造成更大规模的破...
Linux 用户行为日志审计 日志监控
༺墨༒眉༻
01-24 1983
所谓sudo命令日志审计,不记录普通用户操作,而是记录执行sudo命令用户操作 1、查看安装sudo命令,syslog服务 rpm -qa |egrep "sudo|syslog" [root@iZ23hh6yk41Z ~]# rpm -qa |egrep "sudo|syslog" rsyslog-8.24.0-12.el7.x86_64 sudo-1.8.19p2-11.el7_4...
Linux文件监控
Linvo's blog
07-21 3189
之前实现了逻辑任务调度功能,并把整个管理框架搭好,现在开始研究实现文件监控功能。文件监控一直是Linux的一个弱项,windows有很好的消息机制,实现起来很方便。之前的Linux如果不想用轮询的方法,那只能用dnotify,但是性能和可操作性都很差。好在2.6.13以后的内核支持了dnotify的替代者——inotify,基于它来实现linux文件监控变得容易了许多,更重要的是性能上的提
使用 Shell 轻松搞定 Linux 命令审计
Linuxprobe18的博客
10-18 188
行操作发送给 rsyslog 服务进行处理,并将格式化后的日志存储在 ElasticSearch 中方便辅助系统管理者在线上故障定位时使用,也可以依此对 Linux命令审计做可视化的二次开发。我也不知道,大概是二八原则)的操作审计。一句话概括今天的主题:利用定制 Bash 源增加日志审计功能,并将用户操作发给 rsyslog 聚合,最后在 elasticsearch 做日志存储和查询。首先,当谈到 Linux 的操作审计需求时,大多数我们希望的是还原线上服务器被人为(误)操作时执行的。
Linux系统中sudo命令的十个技巧总结
09-15
Linux系统中,`sudo`命令是一个至关重要的工具,它允许非特权用户以超级用户(root)的身份执行特定命令,从而实现系统管理任务。通过使用`sudo`,系统管理员能够控制用户对系统的访问权限,避免直接给予用户root...
Linux低权限模糊化执行的程序名和参数,避开基于execve系统调用监控的命令日志.zip
最新发布
04-29
在生产环境中,应当遵循最小权限原则,限制用户执行可能有害的操作,并通过严格的审计和监控来保障系统的安全性。 了解这些技术有助于增强对系统安全的防御能力,理解攻击者可能使用的手段,从而采取相应的预防措施...
Linux 服务器安全技巧
09-15
Linux 服务器安全技巧】 在IT领域,尤其是服务器管理中,确保Linux服务器的安全至关重要。Linux服务器作为企业数据和应用程序的基石,必须采取一系列措施来防范潜在的威胁和攻击。以下是一些有助于提升服务器安全...
linux shell_6
04-08
Linux Shell用户与操作系统交互的重要界面之一,尤其对于新手来说,掌握基本的Shell命令及其使用技巧至关重要。本文旨在通过介绍命令执行顺序的相关概念,帮助读者更好地理解如何利用Shell进行高效、安全的操作。...
LINUX安全管理的基本技巧
09-16
Linux安全管理的基本技巧Linux操作系统因其开源、稳定和高效的特点,深受用户喜爱,但随之而来的也是安全管理的新挑战。尤其对于那些从UNIX或Windows环境转到Linux的管理员来说,掌握Linux的安全管理技巧至关...
Linux 审计日志记录,linux日志服务器审计客户端history记录
weixin_35403151的博客
05-03 1130
需求将每台服务器上的每一个用户执行命令执行时间、登陆时间、主机ip、当前切换用户等信息保存到本地并实时传输至日志服务器进行异地保存。nginxIPhostname角色10.10.99.1test1rsyslog-server10.10.99.2test2rsyslog-client工具及服务1.loggerlogger是一个shell接口,能够经过该接口使用rsyslog的日志模块。webus...
linux审计进程进行保护,用Audit守护进程配置和审计Linux系统
weixin_39997696的博客
05-04 1983
Linux Audit守护进程是一个可以审计Linux系统事件的框架。在本文中,我们一起看看安装、配置和使用这个框架来执行Linux系统和安全审计审计目标通过使用一个强大的审计框架,系统可以追踪很多事件类型来监控和并审计它。这样的例子包括:审计文件访问和修改看看谁改变了一个特殊文件检测未授权的改变监控系统调用和函数检测异常,比如崩溃的进程为入侵检测目的设置“导火线”记录各个用户使用的命令组件这个...
Linux 配置用户命令日志审计功能
浪屋剑客
11-21 8741
目的:监控登陆上linux 系统服务器的用户,所使用过的命令。 采用以下步骤配置用户命令日志审计功能: 1.创建用户审计文件存放目录和审计日志文件 ;  mkdir -p /var/log/usermonitor/ 2.创建用户审计日志文件; echo usermonitor >/var/log/usermonitor/usermonitor.log 3.将日志文件所有者赋予一
linux系统审计日志和数据库审计
u010705742的博客
01-04 5857
系统审计 系统审计日志 #将下面这段内容添加在/etc/profile文件末尾,完事后执行   source /etc/profile   HISTSIZE=1000 HISTTIMEFORMAT="%Y/%m/%d %T ";export HISTTIMEFORMAT #审计文件保存路径 export HISTORY_FILE=/var/log/audit.log #审计内容...
第二十一天-linux用户行为日志审计方案
weixin_30399871的博客
12-03 613
今日笔记:我们今天要学习的是:sudo日志审计,专门对使用sudo命令的系统用户记录其执行命令相关信息。 说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录,那些执行sudo命令用户的操作。 1、安装sudo命令,syslog服务(centos6.4为rsyslog服务) [xiaorui@lrz ~]$ rpm -qa|egrep "sudo|syslog" r...
linux prompt模式,Linux利用PROMPT_COMMAND实现操作记录的功能
weixin_42339801的博客
05-13 1510
Linux中的PROMPT_COMMAND会记录下出现提示符前面的命令,利用这个特性可以实现记录所有用户的操作记录。root用户身份下,进行以下操作vi /etc/profile#在最后一行追加以下环境变量export HISTORY_FILE=/var/log/`date '+%y-%m-%d'`.logexport PROMPT_COMMAND='{ date "+%y-%m-%d %T ##...
Linux 系统精粹:深入解析 PROMPT_COMMAND 环境变量及其实用技巧
十年运维开发经验的王义杰在此分享自己的知识和经验
12-30 904
PROMPT_COMMAND 是 Bash shell 的一个环境变量。当设置了这个变量时,Bash 会在每次主提示符出现之前执行其值指定的命令。这为用户提供了一个强大的机制,用于增强和定制他们的命令行体验。使用 PROMPT_COMMAND 来自定义shell 提示信息,显示更多有用信息。export PROMPT_COMMAND='PS1="在 $(pwd) [$(date "+%H:%M:%S")]$ "'
Linux利用PROMPT_COMMAND实现审计功能
yes_is_ok的博客
05-24 1868
Linux利用PROMPT_COMMAND实现审计功能 这个系统审计,记录什么用户,在什么时间,做了什么操作。 然后将查到的信息记录到一个文件里。 一. 配置 1. 在/etc/profile 文件的最后,添加如下2行代码: export HISTORY_FILE=/var/log/history/`date '+%Y%m'`.log export PROMPT_COMMAND='{ date "+%Y-%m-%d %T ##### $(who am i |awk "{print \$1\".
Linux shell脚本中切换用户执行命令技巧
该资源主要讨论了Linux shell脚本中如何从root权限切换到普通用户权限执行脚本或命令,并涉及计算机系统结构的相关知识,包括CPU、GPU的特性以及计算机的多级层次结构。 在Linux环境中,为了安全性和权限管理,有时...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

乐大师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值