Linux系统中需要对用户输入的命令进行审计记录,系统自带有 history 功能,但是默认显示的内容有限,且 root 用户需要要看全部用户的操作记录,需要查看所有用户 home 目录下的 .bash_histroy 文件,而且默认查看到的 histroy 命令记录所记录的信息有限,只有命令内容,没有记录所运行的时间、当时登录执行操作的来源 ip ,无法满足实际的审计需求。
默认能使用 shell 的用户基本都是 bash shell ,bash 有一个内置的环境变量 PROMPT_COMMAND,这个环境变量的内容会在 bash 显示提示符之前,作为常规的 bash 命令运行。
即在你运行命令回车之后,显示下一个命令行之前,运行 PROMPT_COMMAND 里面的内容,如下图。
所以基于审计的需求,可以使用 PROMPT_COMMAND 的方式来将所有用户的命令都集中记录到某个文件去,最后统一对检查该文件就可以知道各个用户的命令执行信息。
配置方式:在 /etc/profile 最后新增以下内容。(如连续运行多次同个命令,则最终在文件中只会记录第一次运行的记录)
export PROMPT_COMMAND="HistID0=\$(history 1|awk '{print \$1}'); \
lastcommand=\$(history 1|awk '{\$1=\"\" ;print}');\
login_pid=\$(who -u am i | awk '{print \$(NF-1)}')
login_ip=\$(who -u am i | awk -F '\\\(|\\\)' '{print \$2}'); \
if [ \${HistID0}x != \${HistID1}x ];then \
echo -E [\$(date \"+%Y/%m/%d %H:%M:%S\")] [sshpid:\${login_pid}] [fromip:\${login_ip}] [\$(id -un)@\$(hostname) \$(pwd)] \${lastcommand} >> /var/log/cmd_audit.log; \
HistID1=\${HistID0}; \
fi;"
效果图如下。
PROMPT_COMMAND 编写需要注意:
- PROMPT_COMMAND 所涉及到的命令内容,不是直接运行,而是为了应用之后,以原始的命令在运行命令前应用运行,所以涉及到变量或者命令时,如 ${var1} 或 $(date) ,$ 需要使用 \ 进行转义
- 建议使用双引号 " " 包含内容,用单引号也可以,但是如果内容中涉及到的命令内容也必须使用到单引号,则会有出现无法识别解释的情况,内容中涉及到的命令内容使用到双引号时,也许同样使用 \ 进行转义
参考链接:
https://tldp.org/HOWTO/Bash-Prompt-HOWTO/x264.html
https://tldp.org/HOWTO/Bash-Prompt-HOWTO/x279.html
https://spin.atomicobject.com/2016/05/28/log-bash-history/ (空内容回车会重复记录上一条命令)
https://stackoverflow.com/questions/3058325/what-is-the-difference-between-ps1-and-prompt-command
https://jaminzhang.github.io/shell/PROMPT-COMMAND-in-bash-shell/
https://www.jianshu.com/p/0749ddc6b760
https://www.cnblogs.com/music378/p/7429088.html
223
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
