linux审计原理,Linux操作行为审计

最新推荐文章于 2024-07-04 17:59:34 发布
最新推荐文章于 2024-07-04 17:59:34 发布
阅读量264 收藏
点赞数
文章标签: linux审计原理

一 使用[PROMPT_COMMAND]变量 实现审计操作行为功能

【实现原理】

在bash里设置环境变量PROMPT_COMMAND,这个命令会在用户提示符之前被执行,可以用来记录用户操作历史

【实现步骤】

1、创建行为审计日志文件

touch /var/log/Command_history.log

2、将日志文件的所有者改为权限低的用户NOBODY

chown nobody:nobody/var/log/Command_history.log

3、赋予所有用户对日志文件写的权限

chmod 002/var/log/Command_history.log

4、使所有用户对日志文件只有追加权限

chattr +a/var/log/Command_history.log

5、编辑/etc/profile,增加如下:

export HISTORY_FILE=/var/log/Command_history.log

export PROMPT_COMMAND='{ date "+%y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5}")  #### $(history 1 | { read x cmd; echo "$cmd"; })"; } >>${HISTORY_FILE}'

【Bill提示】

此日志文件如果需要删除时,在执行删除操作时,会提示没有权限,这个就是chattr对文件实现的保护功能了,如果需要删除此文件,需要执行

chattr -a/var/log/Command_history.log

chmod 777/var/log/Command_history.log

然后对日志文件进行删除操作

二 根据Profile文件特征实现对操作用户的简单审计功能【失败】

【实现原理】

/etc/profile文件是linux系统的全局(公有)配置,不管是哪个用户,登录时都会读取该文件。

【实现步骤】

编辑/etc/profile,增加如下:

read -p "Please input your name:" NAME

export HISTORY_FILE=/var/log/Command_history.log

Login=`echo -n "-------NAME [$NAME] IP [$SSH_CLIENT] -----">> $HISTORY_FILE`

Time=`date -d today +"%Y-%m-%d %H:%M:%S" >> $HISTORY_FILE`

这样用户在远程登陆linux系统时,会提示输入名字,当操作人员输入自己的名字后,日志文件中会有相应记录,后续出现问题时,可以根据日志文件找到操作人员的姓名和操作记录

【失败与教训】

失败原因:

网盘在的profile文件设置为如上所示时

在重启电脑的时候,机器在启动的时候,读取profile文件,因为profile有读取字符串操作,导致了系统在执行启动xserver服务的时候,没有完成读取profile文件操作,因此导致了xserver服务,和xserver_guard服务启动失败

失败教训:

linux系统启动要读取的文件尽量不要有输入操作

【方法改进】

在xserver命令中添加下#xserver -n Your_name命令,完成记录操作人员人名操作,方便出现问题后快速定位问题

weixin_39945816
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
操作系统安全:Linux安全审计Linux日志详解
wangyuxiang946的博客
04-26 6238
这篇文章给大家介绍Linux用来做安全审计的日志有哪些,解析日志字段含义。
Linux添加用户操作记录审计.txt
06-17
Linux添加用户操作记录审计
Linux系统下用户行为审计
weixin_33932129的博客
07-07 222
以下内容在RHEL 6.4下测试通过。 1、编写脚本Command_history.sh,生产历史命令记录文件,内容如下 #!/bin/bash [ -d /usr/lib/.cmdlog ] || mkdir -p /usr/lib/.cmdlog cmdlog_file="/usr/lib/.cmdlog/cmdlog.$(date +%F)" touch ${cmdl...
【安全】linux audit审计使用入门
最新发布
heike_Ch的博客
07-04 954
rules:审计规则,其中配置了审计系统需要审计操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为
用Shell处理Linux操作审计
03-15 2192
前段时间学习群中有朋友在询问线上 Linux 主机的命令行操作审计方案时,当时给了一个用 rsyslog + elasticsearch 的方案简单搪塞过去了,并没有对方案的细节进行说明。要命的是当时立了个 flag 说在下次公众号文章更新中推送,时间一晃快 2 个月过去了,今天终于来把之前的挖的坑给填上。 首先,当谈到 Linux操作审计需求时,大多数我们希望的是还原线上服务器被人为(误)操作时执行的命令行,以及它关联的上下文。这个需求场景其实跟通用的业务日志采集一致,简单一点可以直接通过 histo
Linux系统添加操作审计
chuangu7098的博客
11-07 234
有时候我们需要对线上用户操作记录进行历史记录待出现问题追究责任人,,但Linux系统自带的history命令用户有自行删除权限,那怎么设置可以让用户的操作记录实时记录,并保证普通用户无权删除呢? vi /etc/profile 在最后添加下面的代码 if [ ! -d /usr/lo...
linux 用户行为审计
Amos.zheng's Blog
04-21 2975
在/etc/profile文件下添加如下shell即可(注意文件的权限问题!!) if ! test -z "$BASH_EXECUTION_STRING" ; then echo "===== $(date "+%F %T") $USER nologin cmd: $BASH_EXECUTION_STRING" >>/var/log/command.log el
Linux历史操作记录审计.docx
06-17
Linux系统中,审计历史操作记录对于系统的安全性至关重要,特别是在安全应急响应中。通常,`history`命令可以用来查看用户的命令历史,但它默认只显示命令而没有执行时间或执行用户的信息,这使得审计分析变得困难...
Linux操作系统之安全审计功能-Audit
10-10
Linux操作系统在保障系统安全方面扮演着重要角色,而Audit系统则是Linux中用于实现安全审计的核心组件。本文将深入探讨Linux中的Audit功能,特别是在Kylin Linux Advanced Server release V10 (Tercel)环境下如何...
linux安全审计扫描工具-Lynis
08-15
Linux安全审计扫描工具Lynis是一款强大的开源工具,主要用于评估和增强Linux系统的安全性。它适合于开发者、系统管理员、审计管理员以及渗透测试人员使用,帮助他们进行合规性测试、系统安全评估以及防御加固。Lynis...
Linux操作系统用户操作审计初探.pdf
09-06
3. **应用程序交互操作审计缺失**:对于用户在应用程序内的交互操作,如图形界面的点击、输入等,历史记录功能无法捕获和记录,导致这部分操作行为处于监控盲区。 针对以上问题,可以通过扩展历史记录的审计功能...
Linux audit 日志审计服务安装及使用
01-12
Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。
linux用户 审计,Linux系统下用户行为审计
weixin_33514221的博客
05-01 630
以下内容在RHEL 6.4下测试通过。1、编写脚本Command_history.sh,生产历史命令记录文件,内容如下#!/bin/bash[ -d /usr/lib/.cmdlog ] || mkdir -p /usr/lib/.cmdlogcmdlog_file="/usr/lib/.cmdlog/cmdlog.$(date +%F)"touch ${cmdlog_file}chmod ${...
使用 Shell 轻松搞定 Linux 命令审计
Free雅轩的博客
10-10 226
操作发送给 rsyslog 服务进行处理,并将格式化后的日志存储在 ElasticSearch 中方便辅助系统管理者在线上故障定位时使用,也可以依此对 Linux命令行审计做可视化的二次开发。我也不知道,大概是二八原则)的操作审计。一句话概括今天的主题:利用定制 Bash 源增加日志审计功能,并将用户操作发给 rsyslog 聚合,最后在 elasticsearch 做日志存储和查询。首先,当谈到 Linux操作审计需求时,大多数我们希望的是还原线上服务器被人为(误)操作时执行的。
Linux用户操作审计记录方案
weixin_34290390的博客
02-18 228
Linux用户操作审计记录方案原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处、作者信息和本声明。否则将追究法律责任。http://jiechao2012.blog.51cto.com/3251753/1143762【概述】:多人共同使用的服务器权限确实不好管理,误操作等造成故障,无法追究,最好的办法就是将用户操作实时记录到日志,并推送到远程日志服务器上。包...
Linux日志巡检之日常操作及安全审计
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
04-21 7210
一、背景 本文专门针对Linux系统运维当中相关日志,总结概述经常要执行的操作,以备参考辅助。 二、常见日志 /var/log/message 系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一,一般系统整体运行信息都会记录在该日志里,其中也包含系统启动期间的日志。此外,mail,cron,daemon,kern和auth等内容也会记录在var/log/messages日志中。 /var/log/daemon.log:记录包含各种系统后台守护进程日志信息 /var/log/maill
linux 审计(auditd)原理分析
guoguangwu的专栏
08-18 6509
前面几篇博客说过可以使用auditctl 添加和删除规则等。 现在谈谈auditd的相关实现。基于 Linux2.6.11.12 这些代码主要在下面的文件中 kernel/audit.c 提供了核心的审计机制。 kernel/auditsc.c 实现了系统调用审计、过滤审计事件的机制。 用户可以使用应用程序auditctl向内核添加规则,内核检测到这些变动之后,会在进程创...
Linux系统用户操作审计配置指南
总结来说,这个教程旨在提供一种方法,通过创建一个审计用户并设定相应的权限,来追踪和审计Linux系统中的用户操作,从而增强系统的安全性与可追溯性。这种审计机制可以帮助管理员监控用户活动,及时发现并处理潜在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值