linux系统操作审计-让history内容更丰富

最新推荐文章于 2023-07-27 16:37:02 发布
最新推荐文章于 2023-07-27 16:37:02 发布
阅读量219 收藏
点赞数
原文链接:http://www.cnblogs.com/sonwnja/p/9280739.html
版权

不知道作为运维的你有没有体会过这样一种情况:

当某天你的服务器发生异常情况,例如某个文件莫名被删除了,或者某个文件被人私自篡改,甚至是发生安全事件等等,这时你的经理找到你要你查个水落石出,于是你想看看history里有没有一些异常的操作,当你在终端里敲完history命令之后,看到的结果,却敌我难分,例如某个rm -rf的操作到底是自己人做的操作还是有人未经同意做得操作呢,此时的结果看不到详细的信息,只能看到操作的指令,但是你很想看这些指令到底是在什么时候执行的,哪个用户执行的,哪个终端执行的,甚至是终端的ssh远程IP是多少等等,遇到这些情况你可能在一阵噼里啪啦之后一筹莫展,不知道从何下手。但是别担心,今天给大家推出解决方案:

注意事项(必读):

  • 此方案会导致所有存在的历史记录变成当前日期的时间,如果你们决定忽略以前的历史记录,那么建议先敲history -c清空历史记录,再按照以下步骤实施就是了。
  • 建议新机器第一件事就是部署该方案

1,编辑/etc/profile

在文件内容末尾添加如下内容:

1 w -uh>$HOME/.cache_tty;grep "`tty|cut -d '/' -f3,4`" $HOME/.cache_tty|awk '{print $3}'>$HOME/.cache_tty_ip
2 export HISTTIMEFORMAT="`whoami` `tty|cut -d '/' -f3,4` $(w -uh>$HOME/.cache_tty;grep "`tty|cut -d '/' -f3,4`" $HOME/.cache_tty|awk '{print $3}') %F %T "

示例图:

 

2,保存退出然后敲history命令验证是否生效:

1 history

如下图可以看出已经生效:

 

转载于:https://www.cnblogs.com/sonwnja/p/9280739.html

weixin_33763244
关注
[网络安全自学篇] 六十.Cracer第八期——(2)五万字总结Linux基础知识和常用渗透命令
杨秀璋的专栏
03-19 1万+
作为Web渗透的初学者,Linux基础知识和常用命令是我们的必备技能,本文详细讲解了Linux相关知识点及Web渗透免了高龄。如果想玩好Kali或渗透,你需要学好Linux及相关命令,以及端口扫描、漏洞利用、瑞士军刀等工具。安全领域通常分为网络安全(Web渗透)和系统安全(PWN逆向)两个方向。非常基础的一篇文章,希望能够帮助到您!
有关linux命令history用户实时记录审计
weixin_34392843的博客
07-01 514
有时候我们需要对线上用户操作记录进行历史记录待出现问题追究责任人,但Linux系统自带的history命令用户有自行删除权限,那怎么设置可以让用户的操作记录实时记录,并保证普通用户无权删除呢?我们作为系统管理员可以这样做!1.mkdir -p /usr/local/domob/records/ 创建审计的目录 chmod 777 /usr/local/d...
history记录ip用户时间等,linux操作审计,命令行审计
qq_40331154的博客
05-24 551
history记录ip用户时间等,linux操作审计,命令行审计 由于最近服务器经常出现系统文件被改动,但通过history溯源只能查看到对应的命令,不知道具体是谁操作的。于是基于PROMPT_COMMAND实现了一个审计功能。好了废话不多说直接上代码。 cat >> /etc/profile << 'EOF' CMD_LOG_DIR=/cmdlog if [ ! -d $CMD_LOG_DIR ] ; then mkdir -p $CMD_LOG_DIR chm
linux日志服务器审计客户端history记录
weixin_33873846的博客
07-08 241
https://blog.csdn.net/yanggd1987/article/details/70255179
LINUX下用户操作记录审计-history
weixin_38920945的博客
09-13 750
export HISTTIMEFORMAT='%F %T' history通常,我们运维管理人员需要知道一台服务器上有哪些用户登录过,在服务器上执行了哪些命令,干了哪些事情,这就要求记录服务器上所用登录用户的操作信息,这对于安全维护来说很有必要。废话不多说了,下面直接记录做法:1234567891011121314151617181920212223242526...
Linux History安全问题【保存记录防止删除】+完善Linux/UNIX审计 将每个shell命令记入日志...
weixin_34348174的博客
09-10 588
2011-09-27 22:11:51|分类:rhel5_033|举报|字号订阅 Linux利用PROMPT_COMMAND实现审计功能 这个系统审计,记录什么用户,在什么时间,做了什么操作。 然后将查到的信息记录到一个文件里。 一. 配置 1. 在/etc/profile 文件的最后,添加如下2行代码: e...
Kali Linux终端安全审计:确保操作可追踪与合规性的6个步骤
Kali Linux是一个为安全专家和渗透测试人员设计的专业操作系统,它提供了丰富的工具来支持各种安全审计任务。本章我们将探讨Kali Linux在终端安全审计中的重要性,并概述安全审计的基本概念。安全审计是一个系统的...
linux学习书籍
11-09
以上是根据《鸟哥的私房菜》提供的基础知识和快速索引内容整理的一些关键知识点,这些知识点覆盖了Linux系统的各个方面,为读者提供了全面的学习资源。通过学习这些内容,读者可以好地理解Linux的工作原理,并掌握...
Linux基础:ls命令详解与常用操作
该命令允许用户在终端环境中列出目录内容,并提供丰富的选项来定制输出格式。以下是关于ls命令及其相关知识点的详细介绍: 1. 命令格式: - `ls` 是一个基本命令,可以接受选项和文件目录列表作为参数。基本语法为...
linux中 shell 历史命令记录功能
09-15
这不仅能够帮助我们高效地进行日常操作,而且在系统审计、问题排查甚至是安全事件响应中扮演着至关重要的角色。本文将详细介绍Linux下shell历史命令记录的相关配置与技巧。 #### 二、基本概念 Linux中的shell历史...
查询审计历史
寒冰屋的专栏
03-10 397
目录 选项 设想 怎么运行的 审核历史记录是模型驱动的应用程序中出色的即装即用功能。但是,查询审核历史记录有些棘手。不幸的是,诸如Power Automate CDS连接器,LinQ或简单的FetchXml之类的常用查询机制不支持它。这篇文章将讨论我们拥有的选项和示例代码。 选项 使用SDK消息RetrieveRecordChangeHistoryRequest和RetrieveRecordChangeHistoryResponse,本文中将对此进行介绍 使用Kingswaysoft的D3
linux下用户操作记录审计环境的部署记录
weixin_34318272的博客
08-16 124
  通常,我们运维管理人员需要知道一台服务器上有哪些用户登录过,在服务器上执行了哪些命令,干了哪些事情,这就要求记录服务器上所用登录用户的操作信息,这对于安全维护来说很有必要。废话不多说了,下面直接记录做法: 1)查看及管理当前登录用户 使用w命令查看当前登录用户正在使用的进程信息,w命令用于显示已经登录系统的用户的名称,以及它们正在做的事。该命令所使用的信息来源于/var/run/utmp文件...
Linux开启审计操作日记(history格式)
最新发布
Fadess的博客
07-27 1438
history配置、Linux操作日记配置、Linux记录操作日志
linuxhistory记录时间和把所有命令都记录到message
******* ▄︻┻┳═一 *******
09-29 4928
一、让history记录时间export HISTTIMEFORMAT="%F %T `whoami`"输出: 二、把所有命令都记录下来到messageexport PROMPT_COMMAND=\ '{ msg=$(history 1 | { read x y ; echo $y ;});\ logger "[euid=$(whoami)]":$(who am i):[`pwd`]" $msg"
Linux审计部署
cuiyong8723的博客
01-24 144
1) 禁用root 登陆 vi /etc/ssh/sshd_config PermitRootLogin no 2) 修改启动模式 3 vi /etc/inittab 3) 关服务 e...
linux审计原理,Linux操作行为审计
weixin_39945816的博客
05-13 317
一 使用[PROMPT_COMMAND]变量 实现审计操作行为功能【实现原理】在bash里设置环境变量PROMPT_COMMAND,这个命令会在用户提示符之前被执行,可以用来记录用户操作历史【实现步骤】1、创建行为审计日志文件touch/var/log/Command_history.log2、将日志文件的所有者改为权限低的用户NOBODYchownnobody:nobody/var/log/...
命令审计
Foolfish的博客
07-13 462
Linux 利用 PROMPT_COMMAND 实现审计功能(及控制权限)修改profilevim /etc/profileexport HISTORY_FILE=/var/log/`date '+%y-%m-%d'`.log export PROMPT_COMMAND='{ date "+%y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\"
history用户操作审计记录方案_beta
weixin_34221112的博客
05-01 113
【概述】:多人共同使用的服务器权限确实不好管理,误操作等造成故障,无法追究,最好的办法就是将用户操作实时记录到日志,并推送到远程日志服务器上。包括(用户登陆时间,目录,操作命令及时间戳等)。以便事后追查。 测试了网上的多种方法,但均含有不同程度bug,或者不能满足需求。对于安装修改bash4.1的方法,暂未测试。力求在尽可能少的改动服务器的原则上,寻求解决方案。测试...
用Shell处理Linux操作审计
03-15 2209
前段时间学习群中有朋友在询问线上 Linux 主机的命令行操作审计方案时,当时给了一个用 rsyslog + elasticsearch 的方案简单搪塞过去了,并没有对方案的细节进行说明。要命的是当时立了个 flag 说在下次公众号文章新中推送,时间一晃快 2 个月过去了,今天终于来把之前的挖的坑给填上。 首先,当谈到 Linux操作审计需求时,大多数我们希望的是还原线上服务器被人为(误)操作时执行的命令行,以及它关联的上下文。这个需求场景其实跟通用的业务日志采集一致,简单一点可以直接通过 histo
Linux系统下增强History命令:审计与安全强化
"这篇文档详细介绍了如何在Linux系统优化`history`命令的使用,以增强审计和安全分析的能力。默认情况下,`history`命令只能显示用户的操作记录,但不包含用户信息和具体的操作时间。这使得在进行安全事件响应时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值