对用户进行操作日志审计

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25611295/article/details/78225769
Linux下利用日志对用户进行操作审计为了服务器的安全,以及避免日常运维中的一些误操作。
我们经常编辑/etc/profile文件,添加

HISTSIZE=1000
HISTTIMEFORMAT="%Y/%m/%d %T ";export HISTTIMEFORMAT
export HISTORY_FILE=/var/log/audit.log
export PROMPT_COMMAND='{ thisHistID=`history 1|awk "{print \\$1}"`;lastCommand=`history 1| awk "{\\$1=\"\" ;print}"`;user=`id -un`;whoStr=(`who -u am i`);realUser=${whoStr[0]};logMonth=${whoStr[2]};logDay=${whoStr[3]};logTime=${whoStr[4]};pid=${whoStr[6]};ip=${whoStr[7]};if [ ${thisHistID}x != ${lastHistID}x ];then echo -E `date "+%Y/%m/%d %H:%M:%S"` $user\($realUser\)@$ip[PID:$pid][LOGIN:$logMonth $logDay $logTime] --- $lastCommand ;lastHistID=$thisHistID;fi; } >> $HISTORY_FILE'


创建审计文件
touch /var/log/audit.log
chown nobody:nobody /var/log/audit.log
chmod 002 /var/log/audit.log
chattr +a /var/log/audit.log

source /etc/profile
你所有的操作记录就被记录下在 /var/log/audit.log
查看:
[root@liao day02]# cat /var/log/audit.log
2017/10/13 22:29:52 rootroot@[PID:(192.168.111.1)][LOGIN:2017-10-13 16:57 .] --- 2017/10/13 22:29:51 source /etc/profile
2017/10/13 22:29:55 rootroot@[PID:(192.168.111.1)][LOGIN:2017-10-13 16:57 .] --- 2017/10/13 22:29:55 ll

展开阅读全文

没有更多推荐了,返回首页