谁动了我的主机,如何活用History命令?

最新推荐文章于 2023-03-01 14:59:53 发布
最新推荐文章于 2023-03-01 14:59:53 发布
阅读量121 收藏
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42294060/article/details/112939789
版权

Linux系统下可通过history命令查看用户所有的历史操作记录,在安全应急响应中起着非常重要的作用,但在未进行附加配置情况下,history命令只能查看用户历史操作记录,并不能区分用户以及操作时间,不便于审计分析。
当然,一些不好的操作习惯也可能通过命令历史泄露敏感信息。下面我们来介绍如何让history日志记录更细化,更便于我们审计分析。

1、命令历史记录中加时间

默认情况下如下图所示,没有命令执行时间,不利于审计分析。
在这里插入图片描述
通过设置export HISTTIMEFORMAT=’%F %T ',让历史记录中带上命令执行时间。
注意”%T”和后面的”’”之间有空格,不然查看历史记录的时候,时间和命令之间没有分割。
要一劳永逸,这个配置可以写在/etc/profile中,当然如果要对指定用户做配置,这个配置可以写在/home/$USER/.bash_profile中。
本文将以/etc/profile为例进行演示。
在这里插入图片描述
要使配置立即生效请执行source /etc/profile,我们再查看history记录,可以看到记录中带上了命令执行时间。
在这里插入图片描述
如果想要实现更细化的记录,比如登陆过系统的用户、IP地址、操作命令以及操作时间一一对应,可以通过在/etc/profile里面加入以下代码实现

export HISTTIMEFORMAT="\%F \%T`who \-u am i 2>/dev/null| awk '{print $NF}'|sed \-e 's/[()]//g'``whoami`

注意空格都是必须的。
在这里插入图片描述
修改/etc/profile并加载后,history记录如下,时间、IP、用户及执行的命令都一一对应。
在这里插入图片描述

通过以上配置,我们基本上可以满足日常的审计工作了,但了解系统的朋友应该很容易看出来,这种方法只是设置了环境变量,攻击者unset掉这个环境变量,或者直接删除命令历史,对于安全应急来说,这无疑是一个灾难。
针对这样的问题,我们应该如何应对,下面才是我们今天的重点,通过修改bash源码,让history记录通过syslog发送到远程logserver中,大大增加了攻击者对history记录完整性破坏的难度。

心心念念@
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
谁动了我的主机活用History命令.doc
02-01
Linux系统下可通过history命令查看用户所有的历史操作记录,在安全应急响应中起着非常重要的作用,但在未进行附加配置情况下,history命令只能查看用户历史操作记录,并不能区分用户以及操作时间,不便于审计分析。
谁动了我的主机? 之活用History命令
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
01-11 140
点击上方“开源Linux”,选择“设为星标” 回复“学习”获取独家整理的学习资料! Linux系统下可通过history命令查看用户所有的历史操作记录,在安全应急响应中起着非常重要的作用...
谁动了我的主机? 之活用History命令|Linux安全运维
weixin_34007291的博客
08-08 104
Linux系统下可通过history命令查看用户所有的历史操作记录,在安全应急响应中起着非常重要的作用,但在未进行附加配置情况下,history命令只能查看用户历史操作记录,并不能区分用户以及操作时间,不便于审计分析。 当然,一些不好的操作习惯也可能通过命令历史泄露敏感信息。 下面我们来介绍如何让history日志记录更细化,更便于我们审计分析。 1...
查看历史配置命令_谁动了我的主机? 之活用History命令
weixin_42498766的博客
01-05 171
分享一篇freebuf的文章作者:freebuf原文链接:谁动了我的主机? 之活用History命令 - 悬镜实验室 原名称:谁动了我的主机? 之活用History命令Linux系统下可通过history命令查看用户所有的历史操作记录,在安全应急响应中起着非常重要的作用,但在未进行附加配置情况下,history命令只能查看用户历史操作记录,并不能区分用户以及操作时间,不便于审计分析。当...
谁动了我的Linux?原来history这么强大!
hnjsjsac的博客
04-20 169
大家好,我是肖邦,这是我的第 15 篇原创文章。当我们频繁使用 Linux 命令行时,有效地使用历史记录,可以大大提高工作效率。在平时 Linux 操作过程中,很多命令是重复的,你一定不希望大量输入重复的命令。如果你是系统管理员,你可能需要对用户操作进行审计,管理好 Linux 命令历史记录显得非常重要。今天我们来介绍一下,在 Linux 使用 history 来减少重复命令的几个实用技巧。1 基本原理 Linux 命令的历史记录,会持久化存储,默认位置是当前用户家目录的 .bash_h
history命令 显示与操纵历史命令
01-20
如果你经常使用Linux命令,那么使用history命令可以有效地提升你的效率。 语法格式: history [参数] [目录] 常用参数: -a 将当前shell会话的历史命令追加到命令历史文件中,命令历史文件是保存历史命令的配置...
在Linux中使用history命令的方法
09-15
此外,`history`命令可以与`grep`结合使用,搜索包含特定文本的命令。比如,`history | grep dnf`将显示所有包含`dnf`的命令。同样,`history | tail -n 3`则显示最近三条命令。 更进一步,`Ctrl-R`快捷键启动交互...
如何让history命令显示日期和时间
09-15
在Linux系统中,`history`命令是一个非常实用的工具,它允许用户查看先前在终端中执行过的bash命令历史。默认情况下,`history`命令仅显示命令编号和命令本身,但不包括执行这些命令的具体日期和时间。然而,通过...
ubuntu history 命令详解
Shanks
12-04 3992
以下内容转载自https://blog.csdn.net/m0_38020436/article/details/78730631 设置linux系统history相关变量,命令时间、保存history条数,多session共享history 一、设置历史记录的时间 # vi /etc/profile //在文件末尾添加以下内容,然后保存退出重新登陆即可 HISTTIMEFORMAT='%F %T ' //注意有个空格,为了显示时日期与命令之间有空格分割。 HISTSIZE="300.
使用HISTTIMEFORMAT为history命令添加时间信息
发现问题,面对问题,分析问题,解决问题,总结问题
01-11 3927
当我们执行history命令时只会显示一个序号以及对应的命令信息,但是在很多时候我们还是希望能够看到具体的执行时间以便于更好的排查问题。 通过使用HISTTIMEFORMAT变量可以显示每个命令执行的日期和时间。这在各种情况下都很有用,包括记录在特定的时间范围内运行了哪些命令,撤消各种操作,等等。 在Linux服务器中使用下面的命令可以设置在当前会话范围内,history打印出日期时间信息 HISTTIMEFORMAT="%F %T " 其中:%F 表示日期,yyyy-mm-dd %T 表示时分秒 如果想
shell-history:获取用户外壳程序的命令历史记录
05-06
外壳历史 获取用户的命令历史记录 安装 $ npm install shell-history 用法 import { shellHistory , shellHistoryPath } from 'shell-history' ; console . log ( shellHistory ( ) ) ; //=> ['ava', 'echo unicorn', 'node', 'npm test', …] console . log ( shellHistoryPath ( ) ) ; //=> '/Users/sindresorhus/.history' 原料药 shellHistory() 获取命令数组。 在Windows上,除非设置了HISTFILE环境变量,否则它将仅返回当前会话中的命令。 shellHistoryPath() 获取包含外壳历史记录的文件的路径。 在Win
Linux 系统history命令保存
03-01
所有用户执行的命令实时保存在一个文件中,文件内容如下: 2016-03-01 17:34:42 ##### USER:root IP:172.16.50.146 8160 22 PS:/dev/pts/1 ppid=2037 pwd=/root #### wget http://mirror.bit.edu.cn/apache/hadoop/common/hadoop-2.6.0/hadoop-2.6.0.tar.gz 2016-03-01 17:35:23 ##### USER:root IP:172.16.50.146 8077 22 PS:/dev/pts/0 ppid=1993 pwd=/home #### . /etc/profile 2016-03-01 17:35:29 ##### USER:root IP:172.16.50.146 8077 22 PS:/dev/pts/0 ppid=1993 pwd=/home #### pwd 2016-03-01 17:35:31 ##### USER:root IP:172.16.50.146 8077 22 PS:/dev/pts/0 ppid=1993 pwd=/root #### cd 2016-03-01 17:36:21 ##### USER:root IP:172.16.50.146 8077 22 PS:/dev/pts/0 ppid=1993 pwd=/root #### reboot
有趣的linux命令history
hxj413977035的博客
09-08 158
history history命令用于显示指定数目的指令命令,读取历史命令文件中的目录到历史命令缓冲区和将历史命令缓冲区中的目录写入命令文件。 该命令单独使用时,仅显示历史命令,在命令行中,可以使用符号!执行指定序号的历史命令。 历史命令是被保存在内存中的,当退出或者登录shell时,会自动保存或读取。在内存中,历史命令仅能够存储1000条历史命令,该数量是由环境变量HISTSIZE进行控制。 history常见命令参数 -c:清空当前历史命令; -a:将历史命令缓冲区中命令写入历史命令文件【/root/.
linux history命令时间,让linux的history命令显示命令执行的时间
weixin_29790285的博客
05-04 1522
让linux的history命令显示命令执行的时间注意:本方法只对bash-3.0以上版本有效#bash --version 查看bash版本方法一# export HISTTIMEFORMAT="%F %T "当退出系统的时候下次再登录时history就会恢复默认设置,这只是一种临时显示的方法。如果想让history一直显示时间,那就的使用下面的方法。方法二编辑/etc/bashrc文件,加入下...
Linux命令—查看历史,并显示操作时间
热门推荐
清平乐的技术专栏
03-26 1万+
最终效果如下 Linux下可输入“history”查看已执行命令历史。正常是不带操作时间的,默认只显示序号和命令。要想显示操作时间需要做如下配置。 临时显示 如需临时显示执行时间则输入“export HISTTIMEFORMAT='%F %T'”。 永久生效 如需永久显示执行时间可通过编辑名为“.bash.rc”的隐藏文件完成。 注意:此文件中home命令下。可在任意目录下执行“vi ~/.b...
linux 用户 时间设置,Linux在history上添加时间和用户等参数的方法
weixin_33805938的博客
04-30 787
众所周知,Linux系统下可以使用history命令来查看指令的历史记录。为了提高history命令的效率,还可以在history命令加上一些参数,比如时间、用户和IP等等参数。那么如何在history上添加这些参数呢?想必很多用户都想知道,下面跟随U大侠小编一起来看看Linux在history上添加时间和用户等参数的方法。Linux系统1.设置显示时间和用户:echo ‘export HISTT...
linux awk命令根据分隔符输出,Linux运维知识之Linux awk命令详解
weixin_33799059的博客
04-28 1492
本文主要向大家介绍了Linux运维知识之Linux awk命令详解,通过具体的内容向大家展现,希望对大家学习Linux运维知识有所帮助。awk:适用程序,一种unix工具就是一个强大的文本分析工具,相对于grep查找、sed的编辑,awk在对数据分析并生成报告的时候,显得尤为强大。简单来说awk就是把文件逐行的读入,以空格为默认分隔符将每行切片,切开的部分再进行各种处理。awk是用来操作数据和产...
Linux系统之history命令的基本使用
jks212454的博客
03-01 6025
Linux系统之history命令的基本使用
Linux history命令加入时间
Mr.Yan的专栏
10-10 1186
export  HISTTIMEFORMAT="`whoami` : %F %T :"
请帮我想出:如何能在3dec7.0软件中,能实现每计算一步,就调用一次history命令
最新发布
05-24
在3dec7.0软件中实现每计算一步就调用一次history命令,可以通过设置一个脚本来实现。具体步骤如下: 1. 打开3dec7.0软件,进入命令行窗口。 2. 输入命令“edit script”,打开脚本编辑器。 3. 在脚本编辑器中输入以下代码: ``` set var_step 0 while {1} { waitfor calc_end set var_step [expr $var_step+1] send "history\r" } ``` 4. 保存脚本并退出脚本编辑器。 5. 在命令行窗口中输入命令“source 脚本路径”,加载脚本。 6. 开始计算模型,每计算一步就会自动调用history命令。 注意:在脚本中,设置了一个计数器变量var_step,用于记录计算的步数。每次计算结束后,计数器加1,并调用history命令
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值