linux 用户行为审计

最新推荐文章于 2023-07-15 20:40:51 发布
最新推荐文章于 2023-07-15 20:40:51 发布
阅读量1.8k 收藏
点赞数 1
分类专栏: 用户行为监控
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eagle89/article/details/80580050
版权

在/etc/profile文件下添加如下shell即可(注意文件的权限问题!!)

[plain] view plain copy
  1. if ! test -z  "$BASH_EXECUTION_STRING" ; then  
  2.           echo "===== $(date "+%F  %T") $USER nologin cmd:   $BASH_EXECUTION_STRING" >>/var/log/command.log  
  3.   elif  shopt -q login_shell ; then  
  4.           printf "====== $(date "+%F  %T") new login the last cmd: ">>/var/log/command.log  
  5.   else  
  6.           printf "====== $(date "+%F  %T") su  the last cmd:  ">>/var/log/command.log  
  7.   fi  
  8.   export  HISTTIMEFORMAT="%F %T  $USER  ${SSH_TTY:5} ${SSH_CLIENT%% *}  "  
  9.   export PROMPT_COMMAND="history  1|tail -1|sed 's/^[ ]\+[0-9]\+   //'>> /var/log/command.log"  

所有命令会被记录在/var/log/command.log可以查看。


一:配置调试

1.创建用户审计文件存放目录和审计日志文件 ;
mkdir -p /var/log/usermonitor/

2.创建用户审计日志文件;
echo usermonitor >/var/log/usermonitor/usermonitor.log

3.将日志文件所有者赋予一个最低权限的用户;
chown nobody:nobody /var/log/usermonitor/usermonitor.log

4.给该日志文件赋予所有人的写权限;
chmod 002 /var/log/usermonitor/usermonitor.log

5.设置文件权限,使所有用户对该文件只有追加权限 ;
chattr +a /var/log/usermonitor/usermonitor.log
6.编辑/etc/profile文件,添加如下任意脚本命令;

代码1:
export HISTORY_FILE=/var/log/usermonitor/usermonitor.log
export PROMPT_COMMAND='{ date "+%y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5}")  #### $(id|awk "{print \$1}") #### $(history 1 | { read x cmd; echo "$cmd"; })"; } >>$HISTORY_FILE'

代码2:
HISTTIMEFORMAT="%Y%m%d-%H%M%S: "
export HISTTIMEFORMAT
export HISTORY_FILE=/var/log/usermonitor/usermonitor.log
export PROMPT_COMMAND='{ command=$(history 1 | { read x y; echo $y; }); logger -p local1.notice -t bash -i "user=$USER,ppid=$PPID,from=$SSH_CLIENT,pwd=$PWD,command:$command"; } >>$HISTORY_FILE'

代码3:
export HISTORY_FILE=/var/log/usermonitor/usermonitor.log
PROMPT_COMMAND='{ date "+%Y-%m-%d %T ##### USER:$USER IP:$SSH_CLIENT PS:$SSH_TTY ppid=$PPID pwd=$PWD  #### $(history 1 | { read x cmd; echo "$cmd"; })";} >>$HISTORY_FILE'
7.使配置生效
source  /etc/profile

jerry-89
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
操作系统安全:Linux安全审计Linux日志详解
wangyuxiang946的博客
04-26 5347
这篇文章给大家介绍Linux用来做安全审计的日志有哪些,解析日志字段含义。
ssh日志审计_linux查看ssh用户登录日志与操作日志
weixin_30140093的博客
01-17 5517
本文章来给各位同学介绍一下关于linux查看ssh用户登录日志与操作日志,登录日志只要在linux中就可以查看了,如果是操作日志我们需要自己先增加,然后再可以直接查看了,下面我都举了实例说明。ssh用户登录日志linux下登录日志在下面的目录里:代码如下cd /var/log查看ssh用户的登录日志:代码如下less secure1. 日志简介日志对于安全来说,非常重要,他记录了系统每天发生的各种...
linux用户 审计,Linux系统下用户行为审计
weixin_33514221的博客
05-01 610
以下内容在RHEL 6.4下测试通过。1、编写脚本Command_history.sh,生产历史命令记录文件,内容如下#!/bin/bash[ -d /usr/lib/.cmdlog ] || mkdir -p /usr/lib/.cmdlogcmdlog_file="/usr/lib/.cmdlog/cmdlog.$(date +%F)"touch ${cmdlog_file}chmod ${...
关于linux中对敏感命令进行监测的功能的实现
qq_48479662的博客
05-08 657
关于linux中对敏感命令进行监测的功能的实现 这个是目前在实习的过程中安排学习的一个任务,在查阅过了资料以及请教以后,目前的成果 首先我们需要设计一个linux用户审计的脚本文件 先对配置进行调试 1、创建一个用户审计文件存放的地址和审计日志的文件 mkdir -p /var/log/usermonitor/ 2、创建用户审计日志文件 echo usermonitor >/va...
linux安全-用户行为监控
星空的专栏
09-24 6655
linux下面有好多shell,常见的有 /bin/bash、/bin/sh、/bin/csh、/bin/tcsh、/bin/ksh,而我们最常用bash,因为它提供了history功能,帮助我们更好的与系统交互。但本文主要讲解的是如何更加熟悉的了解别的用户包括黑客都在你的系统上做了什么操作,通常(bash)这些操作默认都会保存到~/.bash_history 文件中,但如果这些用户不想给你留下操
ssh 用户登录 审计
Serene MA的博客
05-16 925
建立一个 Command_history.sh touch /var/log/Command_history.sh 内容如下 #!/bin/sh touch /var/log/Command_history.log chown nobody.nobody /var/log/Command_history.log chmod 002 /var/log/Command_history.log c...
rsyslog所有用户日志审计
12-22
rsyslog所有用户日志审计 rsyslog所有用户日志审计是指通过rsyslog来收集和记录所有用户的日志信息,包括普通用户和root用户。这种日志审计可以帮助管理员追踪用户的操作记录,检测潜在的安全威胁和问题。 rsyslog...
Linux用户行为的常用命令.doc
08-18
Linux操作系统中,跟踪和理解用户行为是系统管理和安全监控的重要方面。以下是一些常用的Linux命令,用于了解和分析用户活动: 1. **finger命令**: `finger`命令允许你查看用户的基本信息,如用户名、全名、...
Linux audit 日志审计服务安装及使用
01-12
Linux audit 日志审计服务安装及使用 Linux audit 是一种强大的日志审计服务,可以将审计记录写入日志文件,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文将详细介绍 Linux ...
Linux操作系统用户操作审计初探.pdf
09-06
3. **应用程序交互操作的审计缺失**:对于用户在应用程序内的交互操作,如图形界面的点击、输入等,历史记录功能无法捕获和记录,导致这部分操作行为处于监控盲区。 针对以上问题,可以通过扩展历史记录的审计功能...
audit-userspace:Linux审计用户空间存储库
02-05
Linux审计用户空间存储库详解》 在深入探讨"audit-userspace:Linux审计用户空间存储库"之前,我们首先需要理解Linux审计系统的基础知识。Linux审计系统是一个强大的工具,用于记录系统活动,它提供了一种机制来...
实验三 守护进程
diOSyu的博客
09-24 5109
一、实验目的 1、了解守护进程的生命周期及应用; 2、掌握编写守护进程的五个基本步骤。 二、实验内容 1、编写守护进程test,test每3秒钟打印一个数字,定向输出到trush.txt 2、编写并编译monitor.c,其功能为每5秒检测一次test是否正在运行;若未运行,则运行该程序。 3、先验证test是否能正常运行,需要执行test,然后用命令查看数字是否正常输出至trush....
行为审计日志 (实时索引/实时搜索) - 最佳实践
weixin_34327223的博客
05-20 841
标签 PostgreSQL , ES , 搜索引擎 , 全文检索 , 日志分析 , 倒排索引 , 优化 , 分区 , 分片 , 审计日志 , 行为日志 背景 在很多系统中会记录用户行为日志,行为日志包括浏览行为、社交行为、操作行为等。 典型的应用例如:数据库的SQL审计、企业内部的堡垒机(行为审计)等。 行为审计日志的量与业务量或者操作量有关,为...
Linux 用户行为日志审计 日志监控
༺墨༒眉༻
01-24 1977
所谓sudo命令日志审计,不记录普通用户操作,而是记录执行sudo命令的用户操作 1、查看安装sudo命令,syslog服务 rpm -qa |egrep "sudo|syslog" [root@iZ23hh6yk41Z ~]# rpm -qa |egrep "sudo|syslog" rsyslog-8.24.0-12.el7.x86_64 sudo-1.8.19p2-11.el7_4...
linux用户发送消息,Linux终端中向记录的用户发送消息
weixin_36334262的博客
04-29 929
我如何发送消息到Linux服务器上登录用户? 如果你问这个问题,那么这个指南将帮助你学习如何做到这一点。 我们将演示如何在Linux上的终端上向所有或特定的登录用户发送消息。Linux提供了多种方法将消息发送给登录到服务器的用户,如以下两种方法所述。在第一种方法中,我们将使用wall命令 - 向终端上所有当前登录的用户写一条消息,如图所示。wall "System will go down for...
安全审计-Linux用户命令全审计
wendr的博客
07-15 345
信息安全相关 - 建设篇 第二章 安全审计-Linux用户命令全审计
菜鸟学习之linux用户行为日志审计方案
weixin_34179762的博客
10-14 245
今天学习了了sudo日志审计,专门对使用sudo命令系统的用户记录其执行的相关命令信息说明:所谓sudo命令日志审计,不记录普通用户操作,而是记录执行sudo命令的用户操作1、安装sudo命令,syslog服务[root@qzj~]#rpm-qa|egrep"sudo|syslog" rsyslog-5.8.10-10.el6_6.x86_64 sudo-1.8.6...
linux审计功能
lishenglong666的专栏
12-16 3693
linux审计功能(audit) 2010-09-30 16:40:34|  分类: 工作|字号 订阅 2.6 Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后,管理员可以评审这些日志,确定可能存在的安全裂口,比如失败的登录尝试,或者用户对系统文件不成功的访问。这种功能称为Linux审计系统,在Red Hat Enterprise
linux 安全审计 数据保护
最新发布
11-25
Linux安全审计和数据保护是Linux系统中非常重要的一部分,以下是一些相关的方法和步骤: 1. SELinuxLinux系统中的一个强制访问控制(MAC)系统,它可以限制进程只能访问它被授权的资源。可以通过以下命令来检查SELinux是否开启: ```shell sestatus ``` 如果SELinux处于enforcing模式,则表示它正在强制执行安全策略。如果SELinux处于permissive模式,则表示它只记录违规行为而不强制执行安全策略。如果SELinux处于disabled模式,则表示它已被完全禁用。 2. 可以使用Linux Audit框架来记录系统上发生的安全事件。可以使用以下命令来检查Linux Audit是否已安装: ```shell rpm -q audit ``` 如果未安装,则可以使用以下命令安装: ```shell yum install audit ``` 安装完成后,可以使用以下命令来启用Linux Audit: ```shell systemctl enable auditd.service systemctl start auditd.service ``` 然后,可以使用以下命令来查看Linux Audit日志: ```shell ausearch -m USER_AUTH ``` 这将显示所有与用户身份验证相关的事件。 3. 可以使用Linux系统中的加密文件系统来保护敏感数据。可以使用以下命令来创建一个加密文件系统: ```shell cryptsetup luksFormat /dev/sdb1 cryptsetup luksOpen /dev/sdb1 my_encrypted_fs mkfs.ext4 /dev/mapper/my_encrypted_fs mount /dev/mapper/my_encrypted_fs /mnt/my_encrypted_fs ``` 这将创建一个名为my_encrypted_fs的加密文件系统,并将其挂载到/mnt/my_encrypted_fs目录中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值