1、查看操作命令有history ,但是只能查看到当前用户的命令
记录登录过系统的用户、IP地址、shell命令以及详细操作时间等,并将这些信息以文件形式保存在一个安全地方。
将下面这段代码添加到/etc/profile文件中,即可实现上述功能。
1.创建用户审计文件存放目录和审计日志文件 ;
mkdir -p /var/log/usermonitor/
2.创建用户审计日志文件;
echo “#########” >/var/log/usermonitor/usermonitor.log
3.将日志文件所有者赋予一个最低权限的用户;
chown nobody:nobody /var/log/usermonitor/usermonitor.log
4.给该日志文件赋予所有人的写权限;
chmod 002 /var/log/usermonitor/usermonitor.log
5.设置文件权限,使所有用户对该文件只有追加权限 ;
chattr +a /var/log/usermonitor/usermonitor.log
6.编辑/etc/profile文件,添加如下脚本命令;
export HISTORY_FILE=/var/log/usermonitor/usermonitor.log
export PROMPT_COMMAND='{ date "+%y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5\" \"\$6}") #### $(history 1 | { read x cmd; echo "$cmd"; })"; } >>$HISTORY_FILE'
-
新方法,有时间试验一下
有空试一下新方法 -
但是下面这个好像更加的简单,也是配置在/etc/profile文件中
HISTFILESIZE=2000
HISTTIMEFORMAT="%Y%m%d-%H%M `whoami` "
7.使配置生效
source /etc/profile
8.使用如下命令监测用户行为审计日志文件;
tail -f /var/log/usermonitor/usermonitor.log
2、出现其他用户不能正常使用的情况
- 解决方法:
参考一下文章,配置权限
- 完美解决