bash linux_Linux中bash的奇技淫巧:历史命令实现用户行为审计

最新推荐文章于 2022-05-24 13:46:33 发布
最新推荐文章于 2022-05-24 13:46:33 发布
阅读量144 收藏
点赞数
文章标签: bash linux
a3342d90fed84c3e864f6eb8832406f9

用bash的history特性实现linux用户行为审计

1.Bash的历史命令特性

liunx的bash为用户提供了历史命令的功能:可将所执行的操作保存下来,当bash退出时,将其缓存的命令写入到用户家目录下的.bash_history文件中。

历史命令的知识点:(1)默认当bash退出时,缓存的历史命令被写入到~/.bash_history。

(2)每一个用户都将在其家目录下拥有一个.bash_history的文件,该文件中记录该用户的不同终端上的“历史命令”。

(3)历史命令的保留条目是可控制的,系统默认是1000条。

2.用户行为审计的实现

基于以上对bash的history特性的介绍,我们可以通过历史命令功能,来对用户的行为做审计。

实现思路:

(1)将每个用户的历史命令收集到root用户下的某个文件中,该文件存放在以用户名命令的目录中;

(2)然后给历史命令添加上必要的字段,例如,命令访问时间,命令执行的用户等,使其变成日志的形式;

(3)开启历史命令的实时刷新功能,让用户的行为升级变成实时的效果。

(4)修改历史命令的保留条目,限制审计日志的文件大小。

实现方法:

(1)在环境变量文件/etc/profile文件中添加一下脚本,使其完成日志的集中收集。

[root@localhost ~]# vim /etc/profile​if [ ! -d /usr/local/domob/record/${LOGNAME} ]then    mkdir -p /usr/local/domob/record/${LOGNAME}    chmod 300 /usr/local/domob/record/${LOGNAME}fi export HISTORY_FILE="/usr/local/domob/record/${LOGNAME}/.bash_history"export PROMPT_COMMAND='{ date "+%Y-%m-%d %T ##### $(who am i |awk "{print $1" "$2" "$5}") #### $(history 1 | { read x cmd; echo "$cmd"; })"; } >>$HISTORY_FILE'[root@localhost ~]# source /etc/profile

(2)给日志文件添加权限,使得日志文件用户可以访问但不能修改。

[root@localhost ~]# chmod 777 /usr/local/domob/record/  [root@localhost ~]# chmod +t /usr/local/domob/record/    

测试效果:

创建普通用户test:[root@localhost ~]# useradd test[root@localhost ~]# passwd test切换到test执行命令:[root@localhost ~]# su - test[test@localhost ~]$ pwd [test@localhost ~]$ ls[test@localhost ~]$ touch test退出用户看效果:[test@localhost ~]$ exit
a016c489690a42269d15b9507a8088a8

在record下将产生两个日志目录

20afcdb2d055495f88848f868f4a8d1b

日志目录中定义的是用户历史命令的保存文件

b90538d472f147cd9b187f600c85b3d6

root的日志审计结果

591e7e878eca4e4f8c6a208b8f442a69

普通用户test的审计结果

weixin_39929877
关注
运维实践-最新Nginx二进制构建编译lua-nginx-module动态链接Lua脚本访问Redis数据库读取静态资源隐式展现...
WeiyiGeek 唯一极客IT知识分享
08-06 933
关注「WeiyiGeek」公众号设为「特别关注」每天带你玩转网络安全运维、应用开发、物联网IOT学习!本章目录:0x0n 前言简述知识引入Lua模块指令阶段0x01 部署环境安装说明安装部署0x02 使用实践1.Nginx 实践使用 echo-nginx-module 模块之动态加载链接库2.Nginx 实践使用 lua-resty-redis 模块连接 Redis 进行......
Linux 命令行的艺术
AI天才研究院
07-28 8819
Linux 命令行的艺术前言基础日常使用文件及数据处理系统调试单行脚本冷门但有用仅限 OS X 系统仅限 Windows 系统更多资源免责声明熟练使用命令行是一种常常被忽视,或被认为难以掌握的技能,但实际上,它会提高你作为工程师的灵活性以及生产力。本文是一份我在 Linux 上工作时,发现的一些命令行使用技巧的摘要。有些技巧非常基础,而另一些则相当复杂,甚至晦涩难懂。这篇文章并不长,但当你能够熟练...
Linux调整命令历史方法详解
01-09
Linux 系统bash history 命令有助于记住你以前运行过的命令,并重复这些命令,而不必重新输入。 如果可以的话,你肯定会很高兴不用翻阅十几页的手册,每过一会再次列出你的文件,而是通过输入 history 查看以前运行的命令。在这篇文章,我们将探讨如何让 history 命令记住你希望它记住的内容,并忘记那些可能没有什么“历史价值”的命令。 查看你的命令历史 要查看以前运行过的命令,你只需输入 history。你可能会看到一长串命令。记忆的命令数量取决于在 ~/.bashrc 文件设置的名为 $HISTSIZE 的环境变量,但是如果你想保存更多或更少的命令,你可以根据你的需
Linux服务器--所有用户登陆操作命令审计
weixin_30656145的博客
03-08 176
Linux用户操作记录我们都可以通过命令history来查看历史记录,但是如果因为某人误操作了删除了重要的数据,那么Linux history命令就基本上不会有太大的作用了。我们怎么来查看Linux用户操作记录,有没有什么办法实现通过记录登陆后的IP地址和某用户名所操作的历史记录呢?答案:有的。 第一步: 通过在/etc/profile里最下面加入以下代码就可以实现: PS1="`...
linux 系统打开审计功能,Linux 系统添加操作记录--命令审计功能
weixin_36337756的博客
05-15 397
1.mkdir -p /usr/local/domob/records/chmod 777 /usr/local/domob/records/chmod +t /usr/local/domob/records/2.vi /etc/profile 在最后添加下面的代码if [ ! -d /usr/local/domob/records/${LOGNAME} ]thenmkdir -p /usr/l...
Linux 利用 PROMPT_COMMAND 实现历史命令history审计功能
weixin_33851604的博客
05-08 690
http://blog.163.com/ly_89/blog/static/1869022992011756434459/利用 PROMPT_COMMAND 实现审计功能,记录什么用户,在什么时间,做了什么操作,然后将查到的信息记录到一个文件里。##################################################################...
通过bash实现linux系统账户审计功能
weixin_34315485的博客
02-06 198
转文转自:http://www.sudu.cn/info/index.php?op=article&id=17049 实现该功能要求如下: 1.接受审计的登录用户默认shell必须为bash 2.bash版本至少3.00或以上 需要该要求的原因是实现功能的方法需要用到history命令的HISTTIMEFORMAT变量和PROMPT_COMMAND变量. ...
bash奇技淫巧
04-29
### bash奇技淫巧 #### 简介 在日常的Linux使用过程,熟练掌握Bash的一些技巧可以极大地提升工作效率。本文将分享一系列实用的Bash小贴士,旨在帮助那些经常与Linux命令行打交道的人们更好地利用Bash的强大功能...
Bash高级技巧:提高Linux使用效率
bash奇技淫巧是指一些隐藏的技巧和快捷方式,可以提高用户Linux 的工作效率和生产力。这些技巧可以帮助用户更好地使用 bash shell,提高工作效率和生产力。 2. bash命令历史记录 bash命令历史记录是指 bash...
10.Docker容器镜像体积缩小之奇技淫巧
WeiyiGeek 唯一极客IT知识分享
10-11 792
文章目录0x00 前言简述0x01 基础环境0x02 Docker 最佳实践补充0x03 镜像体积缩减实战(1) 奇技淫巧构建镜像体积减小 99%(2).FROM scratch 的魔力0x04 补充说明openjdk镜像的tag说明(其它镜像可以类比)辅助工具 0x00 前言简述 描述:前面我们学习并且记录了 Dockerfile 最佳实践的一些规则,但是仅仅停在理论并不是我的风格,所以出现了本篇文章同时也加深学习; 从最佳实践原则我们知道要缩小镜像大小,与选择的基础镜像是非常有关系的,比如buysb
Linux 系统添加操作记录--命令审计功能
weixin_33815613的博客
08-13 358
**Linux 系统添加操作记录审计 1.mkdir -p /usr/local/domob/records/ chmod 777 /usr/local/domob/records/ chmod +t /usr/local/domob/records/ 2.vi /etc/profile 在最后添加下面的代码 if [ ! -d /usr/local/domob/records/${LOGNAM...
Linux 系统添加操作记录审计
乐猿
11-17 2642
Linux 系统添加操作记录审计
Linux bash运维操作日志审计(单服务器)
weixin_30555515的博客
02-12 157
目前公司有几台机器比较重要,需要把所有用户的操作记录下来,于是就是参照资料来完成 1. vim /etc/profile.d/oplogrc.sh logdir=/opt/oplog userdir=$logdir/${LOGNAME} DT=`date +"%Y%m%d"` export HISTFILE="/$userdir/history.$DT" export HI...
Bash Reference Manual, Controlling the Prompt, Linux 系统添加操作记录审计
tanyyinyu的博客
09-18 214
https://www.gnu.org/savannah-checkouts/gnu/bash/manual/bash.html#Bourne-Shell-Variables PROMPT_COMMAND If set, the value is interpreted as a command to execute before the printing of each primary prom...
history记录ip用户时间等,linux操作审计命令审计
qq_40331154的博客
05-24 553
history记录ip用户时间等,linux操作审计命令审计 由于最近服务器经常出现系统文件被改动,但通过history溯源只能查看到对应的命令,不知道具体是谁操作的。于是基于PROMPT_COMMAND实现了一个审计功能。好了废话不多说直接上代码。 cat >> /etc/profile << 'EOF' CMD_LOG_DIR=/cmdlog if [ ! -d $CMD_LOG_DIR ] ; then mkdir -p $CMD_LOG_DIR chm
完善linux bash操作记录审核方法
数据库天地
09-06 232
linux工作的同事一般都了解过bash历史记录的问题,我们之前的做法是通过修改bash源码,把历史记录发送到syslog即/var/log/messages这个文件里面,再在syslog配置文件里面加入*.* @Ip发送到远程日志服务器上面。期间有经历过一些多多少少的bug之类的,比如我们是通过key以root权限登录服务器的,记录的时候可能一条操作记录同时记录到几个人的key,普通用...
linux 历史命令
ydjjn_wxs的博客
08-14 246
1.历史命令格式 history [选项] [历史命令保存文件] 选项 : -c : 清空历史命令 -w : 把缓存历史命令写入历史命令保存文件~/.bash_history注意: 1>历史命令默认保存1000条,可以在环境变量配置文件里 /etc/profile进行修改2>历史命令调度
linux历史命令
echo_Ae的博客
08-12 374
.bash_history是你当前用户历史命令(需要退出登录才能查看)查看的是 你上次 登录 操作的历史命令 学到这里,我建议保存历史命令不要怕占内存  这个根本不占你内存的 你几百万条才能才1m这么大,而且保留历史命令可以查看服务器上执行了什么命令,如果有人清除了历史命令,你也是知道的。
【企业安全实战】运维Bash命令审计
Fly_鹏程万里
12-18 1444
0x01 概述 Bash命令收集主要是用于在没有堡垒机和跳板机情况下实现运维操作集审计,另外就是针对一些攻击者入侵服务器后反弹Bash或者sh等做监控。这里提供两种通过Syslog收集的方式。 0x02 通过修改Bash源码发送Syslog 从bash4.1 版本开始,bash开始支持Rsyslog,下载bash-4.4,下载地址: https://ftp.gnu.org/gnu/bash...
Linux Bash Shell 文指南:命令、选项与扩展解析
Linux Bash Shell文手册”是一份详细介绍Bash Shell特性和用法的文档,涵盖了从基础到高级的各种主题,包括启动、选项、参数、命令执行等方面。 1. 概述 (SYNOPSIS): 概述部分通常会提供Bash Shell的基本使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值