bash linux_Linux中bash的奇技淫巧:历史命令实现用户行为审计

最新推荐文章于 2023-12-15 15:29:58 发布
最新推荐文章于 2023-12-15 15:29:58 发布
阅读量113 收藏
点赞数
文章标签: bash linux
a3342d90fed84c3e864f6eb8832406f9

用bash的history特性实现linux用户行为审计

1.Bash的历史命令特性

liunx的bash为用户提供了历史命令的功能:可将所执行的操作保存下来,当bash退出时,将其缓存的命令写入到用户家目录下的.bash_history文件中。

历史命令的知识点:(1)默认当bash退出时,缓存的历史命令被写入到~/.bash_history。

(2)每一个用户都将在其家目录下拥有一个.bash_history的文件,该文件中记录该用户的不同终端上的“历史命令”。

(3)历史命令的保留条目是可控制的,系统默认是1000条。

2.用户行为审计的实现

基于以上对bash的history特性的介绍,我们可以通过历史命令功能,来对用户的行为做审计。

实现思路:

(1)将每个用户的历史命令收集到root用户下的某个文件中,该文件存放在以用户名命令的目录中;

(2)然后给历史命令添加上必要的字段,例如,命令访问时间,命令执行的用户等,使其变成日志的形式;

(3)开启历史命令的实时刷新功能,让用户的行为升级变成实时的效果。

(4)修改历史命令的保留条目,限制审计日志的文件大小。

实现方法:

(1)在环境变量文件/etc/profile文件中添加一下脚本,使其完成日志的集中收集。

[root@localhost ~]# vim /etc/profile​if [ ! -d /usr/local/domob/record/${LOGNAME} ]then    mkdir -p /usr/local/domob/record/${LOGNAME}    chmod 300 /usr/local/domob/record/${LOGNAME}fi export HISTORY_FILE="/usr/local/domob/record/${LOGNAME}/.bash_history"export PROMPT_COMMAND='{ date "+%Y-%m-%d %T ##### $(who am i |awk "{print $1" "$2" "$5}") #### $(history 1 | { read x cmd; echo "$cmd"; })"; } >>$HISTORY_FILE'[root@localhost ~]# source /etc/profile

(2)给日志文件添加权限,使得日志文件用户可以访问但不能修改。

[root@localhost ~]# chmod 777 /usr/local/domob/record/  [root@localhost ~]# chmod +t /usr/local/domob/record/    

测试效果:

创建普通用户test:[root@localhost ~]# useradd test[root@localhost ~]# passwd test切换到test执行命令:[root@localhost ~]# su - test[test@localhost ~]$ pwd [test@localhost ~]$ ls[test@localhost ~]$ touch test退出用户看效果:[test@localhost ~]$ exit
a016c489690a42269d15b9507a8088a8

在record下将产生两个日志目录

20afcdb2d055495f88848f868f4a8d1b

日志目录中定义的是用户历史命令的保存文件

b90538d472f147cd9b187f600c85b3d6

root的日志审计结果

591e7e878eca4e4f8c6a208b8f442a69

普通用户test的审计结果

weixin_39929877
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
op.tar.gz_bash shell_linux_lxc_openldap
09-21
本教程将详细讲解如何在LXC环境配置和安装OpenLDAP服务器,以实现高效且安全的身份管理和目录服务。 首先,我们需要在宿主机上安装bash shell环境,这是Linux系统的默认命令行界面,也是执行脚本的主要工具。确保...
通过bash实现linux系统账户审计功能
weixin_34315485的博客
02-06 178
转文转自:http://www.sudu.cn/info/index.php?op=article&id=17049 实现该功能要求如下: 1.接受审计的登录用户默认shell必须为bash 2.bash版本至少3.00或以上 需要该要求的原因是实现功能的方法需要用到history命令的HISTTIMEFORMAT变量和PROMPT_COMMAND变量. ...
Bash 操作审计和安全加固 —— 筑梦之路
最新发布
筑梦之路
12-15 774
【代码】Bash 操作审计和安全加固 —— 筑梦之路。
Bash审计命令记录
w18mc0431的专栏
08-10 3870
原出处:www.pointsoftware.ch/de/howto-bash-audit-command-logger/ 翻译并整理了一下,第一次翻译水平有限,多请见谅。 有一个完整的输入命令记录在很多情况下是非常有用的: 当几个管理员在同一台电脑上一起工作时,需要知道每个人做了什么 标准的.bash_history文件在某些情况下可能别用户删除,或者可以轻易绕过。 并且当很
系统安全审计脚本实现
inboundmarketing的博客
04-27 447
echo "请使用 root 权限运行脚本."echo "6. 检查 SELinux 状态:"echo "4. 检查 SSH 配置:"echo "系统安全审计脚本执行完毕。echo "1. 检查系统更新情况:"echo "8. 检查系统文件权限:"echo "5. 检查防火墙设置:"echo "2. 检查系统账户:"echo "3. 检查密码策略:"echo "7. 检查系统日志:"echo "9. 检查定时任务:"echo "当前主机信息:"# 检查系统更新情况。# 检查系统文件权限。
Linux审计记录包括哪些内容,有关linux命令history用户实时记录审计
weixin_35440082的博客
05-07 539
有时候我们需要对线上用户操作记录进行历史记录待出现问题追究责任人,但Linux系统自带的history命令用户有自行删除权限,那怎么设置可以让用户的操作记录实时记录,并保证普通用户无权删除呢?我们作为系统管理员可以这样做!1.mkdir -p /usr/local/domob/records/ 创建审计的目录chmod 777 /usr/local/domob/records/ 设置目录权...
sed_truth3j7_linux_bash_sed_源码
10-02
在这个名为"sed_truth3j7_linux_bash_sed_源码"的压缩包,我们可以推测包含了一份关于如何在Linux Bash环境下编写和使用`sed`脚本的PDF教程。下面将详细介绍`sed`以及如何在Bash使用它。 `sed`是一个非交互式的...
awk_linux_bash_awk_
09-30
Linux系统,`bash`和`awk`是两种强大的命令行工具,它们在处理文本数据和自动化任务方面发挥着重要作用。`bash`是Bourne-Again SHell的缩写,是Unix和Linux系统的默认shell,而`awk`则是一种编程语言,特别...
Decoder-master_linux_bash_
09-30
标题“Decoder-master_linux_bash_”暗示我们正在讨论一个针对Linux环境、使用Bash脚本语言的VIN(车辆识别号码)解码器项目。VIN解码器是一个工具,用于从汽车的VIN号提取和解释相关信息,如制造商、型号、生产...
如何在Linux自定义bash命令提示符
09-15
Linux,我们可以修改Bash环境变量`$PS1`来实现这一目标。 `$PS1`是一个特殊的环境变量,它定义了Bash命令提示符的格式。默认情况下,命令提示符通常显示为“username@hostname:current_directory$”。要自定义...
Linux调整命令历史方法详解
01-09
Linux 系统bash history 命令有助于记住你以前运行过的命令,并重复这些命令,而不必重新输入。 如果可以的话,你肯定会很高兴不用翻阅十几页的手册,每过一会再次列出你的文件,而是通过输入 history 查看以前运行的命令。在这篇文章,我们将探讨如何让 history 命令记住你希望它记住的内容,并忘记那些可能没有什么“历史价值”的命令。 查看你的命令历史 要查看以前运行过的命令,你只需输入 history。你可能会看到一长串命令。记忆的命令数量取决于在 ~/.bashrc 文件设置的名为 $HISTSIZE 的环境变量,但是如果你想保存更多或更少的命令,你可以根据你的需
审计和修复macOS Catalina (10.15.x)安全设置的Bash脚本- 0xmachos/mOSL
01-27
审计和修复macOS Catalina (10.15.x)安全设置的Bash脚本- 0xmachos/mOSL-源码
Linux服务器--所有用户登陆操作命令审计
weixin_30656145的博客
03-08 154
Linux用户操作记录我们都可以通过命令history来查看历史记录,但是如果因为某人误操作了删除了重要的数据,那么Linux history命令就基本上不会有太大的作用了。我们怎么来查看Linux用户操作记录,有没有什么办法实现通过记录登陆后的IP地址和某用户名所操作的历史记录呢?答案:有的。 第一步: 通过在/etc/profile里最下面加入以下代码就可以实现: PS1="`...
history记录ip用户时间等,linux操作审计命令审计
qq_40331154的博客
05-24 503
history记录ip用户时间等,linux操作审计命令审计 由于最近服务器经常出现系统文件被改动,但通过history溯源只能查看到对应的命令,不知道具体是谁操作的。于是基于PROMPT_COMMAND实现了一个审计功能。好了废话不多说直接上代码。 cat >> /etc/profile << 'EOF' CMD_LOG_DIR=/cmdlog if [ ! -d $CMD_LOG_DIR ] ; then mkdir -p $CMD_LOG_DIR chm
【企业安全实战】运维Bash命令审计
Fly_鹏程万里
12-18 1392
0x01 概述 Bash命令收集主要是用于在没有堡垒机和跳板机情况下实现运维操作集审计,另外就是针对一些攻击者入侵服务器后反弹Bash或者sh等做监控。这里提供两种通过Syslog收集的方式。 0x02 通过修改Bash源码发送Syslog 从bash4.1 版本开始,bash开始支持Rsyslog,下载bash-4.4,下载地址: https://ftp.gnu.org/gnu/bash...
linux 系统打开审计功能,Linux 系统添加操作记录--命令审计功能
weixin_36337756的博客
05-15 370
1.mkdir -p /usr/local/domob/records/chmod 777 /usr/local/domob/records/chmod +t /usr/local/domob/records/2.vi /etc/profile 在最后添加下面的代码if [ ! -d /usr/local/domob/records/${LOGNAME} ]thenmkdir -p /usr/l...
Bash Reference Manual, Controlling the Prompt, Linux 系统添加操作记录审计
tanyyinyu的博客
09-18 198
https://www.gnu.org/savannah-checkouts/gnu/bash/manual/bash.html#Bourne-Shell-Variables PROMPT_COMMAND If set, the value is interpreted as a command to execute before the printing of each primary prom...
Linux 系统添加操作记录--命令审计功能
weixin_33815613的博客
08-13 339
**Linux 系统添加操作记录审计 1.mkdir -p /usr/local/domob/records/ chmod 777 /usr/local/domob/records/ chmod +t /usr/local/domob/records/ 2.vi /etc/profile 在最后添加下面的代码 if [ ! -d /usr/local/domob/records/${LOGNAM...
Linux 系统添加操作记录审计
乐猿
11-17 2611
Linux 系统添加操作记录审计
linux bash shell文手册
05-03
Linux Bash Shell文手册”是一份详细介绍Bash Shell特性和用法的文档,涵盖了从基础到高级的各种主题,包括启动、选项、参数、命令执行等方面。 1. 概述 (SYNOPSIS): 概述部分通常会提供Bash Shell的基本使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值