一.问题描述
某些开发机,给多个人使用,经常出现误操作,问是哪个人干的,没人承认。出现这种情况,除了要规范、引导、加强大家的日常安全操作意识及流程来避免误操作发生,还要记录对应日志做审计。如果公司规模大,业务需要,比如上市公司404审计等,那么需要用rsa+token+跳板机建立一套完整的登录访问服务器方案。本文的方案只会记录client ip+时间+操作命令。
二.问题解决
通过/etc/profile,再利用 变量 PROMPT_COMMAND。来记录操作日志。直接在/etc/profile追加以下内容。
hostip=`ifconfig | grep 'inet addr' | grep -v '127.0.0.1' | awk '{print $2;}' | awk -F ':' '{print $2}'`
#PS1="`whoami`@`hostname`#"history
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
PS1="`whoami`@$hostip#"
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/.history ]
then
mkdir /tmp/.history
chmod 777 /tmp/.history
fi
if [ ! -d /tmp/.history/${LOGNAME} ]
then
mkdir /tmp/.history/${LOGNAME}
chmod 300 /tmp/.history/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date +"%Y%m%d_%H%M%S"`
export HISTFILE="/tmp/.history/${LOGNAME}/${USER_IP}history.$DT"
chmod 600 /tmp/.history/${LOGNAME}/*history* 2>/dev/null
readonly PROMPT_COMMAND='{ date "+%y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5}") #### $(pwd) #### $(history 1 | { read x cmd; echo "$cmd"; })"; } >> $HISTFILE' 2>/dev/null