Linux简单的命令审计(利用特殊权限stick_bit防删除位)

最新推荐文章于 2023-07-15 20:40:51 发布
最新推荐文章于 2023-07-15 20:40:51 发布
阅读量649 收藏
点赞数
分类专栏: linux 文章标签: stick_bit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhengyshan/article/details/81514960
版权

部署环境

NameVersion
CentOS 73.10.0-693.el7.x86_64 #1 SMP Tue Aug 22 21:09:27 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

 

 

命令审计

在需要日志审计功能的服务器上执行以下命令即可

1、创建用户审计文件存放的目录,-p嵌套创建路径中不存在的目录

  # mkdir -p /usr/local/monitor/

2、给用户审计文件存放的目录赋予最低权限可读、可写、可执行(赋予权限前后对比)

  # ls -ldi /usr/local/monitor/
  51020930 drwxr-xr-x 2 root root 6 8月   6 23:51 /usr/local/monitor/
  # chmod 777 /usr/local/monitor/
  # ls -ldi /usr/local/monitor/
  51020930 drwxrwxrwx 2 root root 6 8月   6 23:51 /usr/local/monitor/

3、给用户审计文件存放的目录赋予t权限就是特殊权限stick_bit(也叫防删除位),防止在该目录下创建文件者之外的用户删除该文件(root用户除外)

  # chmod +t /usr/local/monitor/
  # ls -ldi /usr/local/monitor/
  51020930 drwxrwxrwt 2 root root 6 8月   6 23:51 /usr/local/monitor/

4、编辑/etc/profile文件,在内容最后添加脚本命令

  # vi /etc/profile
  ​
  if [ ! -d /usr/local/monitor/${LOGNAME} ];
  then
      mkdir -p /usr/local/monitor/${LOGNAME}
      chmod 300 /usr/local/monitor/${LOGNAME}
  fi
  ​
  export HISTORY_FILE="/usr/local/monitor/${LOGNAME}/bash_history"
  export PROMPT_COMMAND='{ date "+%Y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5}") #### $(history 1 | { read x cmd; echo "$cmd"; })"; } >>$HISTORY_FILE'

5、是配置生效(其实配置完第4步就已经生效,第5步只是保险起见)

  # source /etc/profile

 

审计时查看/usr/local/monitor/下的以用户名字创建的目录里面的文件即可,它会分别记录登上服务器各个用户的使用目录。为了更安全,可以将该目录打包压缩备份。

zhengyshan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux基础——特殊权限sticky_bit 删除
热心市民王先生
03-03 1010
Linux基础知识,stickybit命令止其他用户删除当前用户的文件或目录。
linux三个特殊权限setuid、setgid和stick bit.docx
09-26
Linux 系统中除了我们熟知的读(r)、写(w)、执行(x)权限外,还有三个比较特殊权限,分别为:setuid、setgid 和 stick bit(粘滞)。这三个特殊权限Linux 系统中扮演着重要的角色,下面将对它们进行详细的解释...
Linux系统命令审计
weixin_34162695的博客
09-27 258
2019独角兽企业重金招聘Python工程师标准>>> ...
linux系统命令审计
weixin_33736048的博客
02-19 348
系统命令审计功能以下主要讲解了如何把谁登录的和登录之后,执行了什么命令,全部输入到一个文件中,并且把这个文件写入到mysql中,再通过php程序调用mysql中的数据来显示一、在系统的全局变量跟添加如下环境变量vim/etc/profileexportPROMPT_COMMAND='{msg=$(history1|{readxy;echo$y;...
Linux服务器--所有用户登陆操作命令审计
weixin_30656145的博客
03-08 158
Linux用户操作记录我们都可以通过命令history来查看历史记录,但是如果因为某人误操作了删除了重要的数据,那么Linux history命令就基本上不会有太大的作用了。我们怎么来查看Linux用户操作记录,有没有什么办法实现通过记录登陆后的IP地址和某用户名所操作的历史记录呢?答案:有的。 第一步: 通过在/etc/profile里最下面加入以下代码就可以实现: PS1="`...
Linux安全审计命令
abg49988的博客
09-23 147
安全审计 数据分析 capinfos xxx.pcap 产看数据包基本信息 日志分析 who /var/log/wtmp #查看登录用户信息 哈希校验 sha265 文件名 md5sum 文件名 > hash.txt 然后把hash.txt与源文件放在一个文件夹 md5sum -c hash.txt ...
Stick_Test.rar_Stick_rl78 _瑞萨_瑞萨 点亮灯_瑞萨点亮LED
09-23
瑞萨Rl78 R5F100LE 点亮LED程序
51shook-his-stick.rar_Stick_stc89c52rc ram
09-19
标题中的“51shook-his-stick.rar”暗示了这是一个基于51系列单片机的项目,而“Stick_stc89c52rc ram”表明具体使用的是STC89C52RC型号的单片机,该型号具有增强型的内部RAM。描述进一步解释了该项目是一个实现16*...
Hall_Stick_4ch_1T2_视频显示切换控制_Stick_
09-28
标题"Hall_Stick_4ch_1T2_视频显示切换控制_Stick_"指的是一个用于视频显示切换控制的设备或软件,特别适用于监控系统。它能够通过485接口与NVR(网络视频录像机)通信,实现对多个监控通道的切换操作。"4ch"表示该...
Hall_Stick_8ch_1T2_视频监控_Stick_
09-30
标题"Hall_Stick_8ch_1T2_视频监控_Stick_"暗示了这是一个与视频监控系统相关的项目,特别是设计用于通过串行通信接口(485接口)控制8个通道的NVR(网络视频录像机)的设备。"1T2"可能表示该设备可以同时管理1台主...
命令审计
Foolfish的博客
07-13 451
Linux 利用 PROMPT_COMMAND 实现审计功能(及控制权限)修改profilevim /etc/profileexport HISTORY_FILE=/var/log/`date '+%y-%m-%d'`.log export PROMPT_COMMAND='{ date "+%y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\"
linux如何做命令审计,linux系统命令审计
weixin_36431018的博客
05-03 1123
系统命令审计功能以下主要讲解了如何把谁登录的和登录之后,执行了什么命令,全部输入到一个文件中,并且把这个文件写入到mysql中,再通过php程序调用mysql中的系统命令审计功能以下主要讲解了如何把谁登录的和登录之后,执行了什么命令,全部输入到一个文件中,并且把这个文件写入到mysql中,再通过php程序调用mysql中的数据来显示一、在系统的全局变量跟添加如下环境变量vim/etc/pr...
安全审计-Linux用户命令审计
wendr的博客
07-15 374
信息安全相关 - 建设篇 第二章 安全审计-Linux用户命令审计
使用 Shell 轻松搞定 Linux 命令审计
Free雅轩的博客
10-10 226
行操作发送给 rsyslog 服务进行处理,并将格式化后的日志存储在 ElasticSearch 中方便辅助系统管理者在线上故障定时使用,也可以依此对 Linux命令行审计做可视化的二次开发。我也不知道,大概是二八原则)的操作审计。一句话概括今天的主题:利用定制 Bash 源增加日志审计功能,并将用户操作发给 rsyslog 聚合,最后在 elasticsearch 做日志存储和查询。首先,当谈到 Linux 的操作审计需求时,大多数我们希望的是还原线上服务器被人为(误)操作时执行的。
linux 日志审计 w命令,Linux系统命令审计
weixin_39631350的博客
05-02 652
命令审计1、 创建审计日志文件存放目录:[root@Centos-1 ~]# mkdir -p /tmp/logs/host_log2、 更改目录权限使其可写、删除:[root@Centos-1 ~]# chmod 777 /tmp/logs/host_log[root@Centos-1 ~]# chmod +t /tmp/logs/host_log3、 编辑/etc/profile,在文件最后...
linux主机motd和命令审计
Swang1的博客
06-09 797
motd和命令审计
Ansible 安全 之【命令审计
Yosigo_的博客
10-27 2475
Ansible 安全 之【命令审计】 实现该功能要求如下: 1. 接受审计的登录用户默认shell必须为bash 2. bash版本至少3.00或以上 需要该要求的原因是实现功能的方法需要用到history命令的HISTTIMEFORMAT变量和PROMPT_COMMAND变量。 配置命令审计 1.创建一个审计日志文件 mkdir /var/log/shell_audit touch /var/log/shell_audit/audit.log 2.将日志文件所有者赋予一个最低权限的用户
from .env_config import RRT_EPS, LIMITS, STICK_LENGTH ImportError: attempted relative import with no known parent package
最新发布
08-17
from mypackage.env_config import RRT_EPS, LIMITS, STICK_LENGTH ``` 2. Check your file structure: Ensure that the file you are running is placed in a package or module directory. Relative imports ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值