CentOS历史命令查询、用户操作审计

已于 2024-05-23 11:59:01 修改
阅读量1.1k 收藏 9
点赞数 26
文章标签: Linux 运维
于 2024-05-23 11:57:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zywhehe/article/details/139141854
版权

目录

历史命令查询

常规方法

直接解析历史命令文件(推荐)

用户操作审计

sudo日志

audit日志

systemd日志(推荐)

历史命令查询

常规方法

# 显示历史命令
history

# 增加时间显示:
# 临时生效
export HISTTIMEFORMAT="%F %T "
# 永久生效
vim ~/.bashrc
export HISTTIMEFORMAT="%F %T "
source ~/.bashrc

存在的问题:实际执行可能不支持历史命令时间显示

-bash: HISTTIMEFORMAT: readonly variable

直接解析历史命令文件(推荐)

import time

history_path = r'/root/.bash_history'

lines = open(history_path, 'r').readlines()[1:]
for i in range(1000, len(lines), 2):
    time_num = int(lines[i].rstrip()[1:])
    time_stamp = time.localtime(time_num)
    time_str = time.strftime('%Y%m%d-%H%M%S', time_stamp)
    history = lines[i+1].rstrip()
    print('{}\t{}\t{}'.format(int(i / 2) + 1, time_str, history))
print(len(lines))

用户操作审计

sudo日志

# 查看sudo日志
cat /var/log/sudo.log
# 查看用户日志
cat /var/log/auth.log

存在的问题:实际可能不存在sudo相关日志

audit日志

# 查看audit日志:
cat /var/log/audit/audit.log
# 查找rm命令相关的日志:
ausearch -i -c rm
# 搜索包含rm关键字的日志:
ausearch -k rm

日志格式:

/var/log/audit/audit.log 是 Linux 系统中用于记录审计日志的文件,其中包含了系统操作的详细记录。每条日志都有特定的格式,通常包括以下几个字段:

  1. 时间戳:记录事件发生的时间,通常以日期和时间的形式呈现。
  2. 主机名:记录事件发生的主机名或 IP 地址。
  3. 事件类型:表示事件的类型,如 SYSCALL(系统调用)、EXECVE(执行程序)等。
  4. 用户名:执行操作的用户。
  5. 进程 ID:与事件相关的进程的标识符。
  6. 主题:描述事件所涉及的对象或资源。
  7. 动作:描述事件执行的具体操作。
  8. 结果:操作的结果,通常是成功或失败的标识。

一个典型的审计日志条目如下所示:

type=SYSCALL msg=audit(1623601161.930:254): arch=c000003e syscall=59 success=yes exit=0 a0=1d46a70f8c a1=1d46a70f72 a2=1d46a70ff8 a3=7fffdbc391d0 items=2 ppid=100 pid=101 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1 comm="ls" exe="/bin/ls"

上述示例中,type=SYSCALL 表示事件类型为系统调用,msg=audit 后的时间戳表示事件发生时间,uid=0 表示执行操作的用户为 root 用户,comm="ls" 表示执行了 ls 命令等等。

存在的问题:如果用户通过SSH登录,可能不会显示具体命令,事件类型CRYPTO_KEY_USER通常用于记录加密密钥用户相关的操作,而不是用户执行的具体命令:

type=CRYPTO_KEY_USER msg=audit(1714415.536:6045): pid=36936 uid=0 auid=4297295 ses=4294295 msg='op=destroy kind=session fp=? direction=from-client spid=36538 suid=0 rport=4207 laddr=192.168.0.10 lport=22  exe="/usr/sbin/sshd" hostname=? addr=192.168.0.20 terminal=? res=success'UID="root" AUID="unset" SUID="root"

添加审计规则:

# 查看当前已配置的审计规则
auditctl -l
# 添加审计规则监视用户执行rm命令的操作
auditctl -a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -k rm
# 重启服务
systemctl enable auditd
systemctl restart auditd

存在的问题:实际可能不支持audit服务重启

Failed to restart auditd.service: Operation refused, unit auditd.service may be requested by dependency only (it is configured to refuse manual start/stop).
See system logs and 'systemctl status auditd.service' for details.

尚未尝试的方法:系统重启

systemd日志(推荐)

# 查看systemd日志
journalctl
journalctl > log.txt
# -x: 显示完整的内容,包括消息、触发器、行号等。
# -e: 直接跳转到日志文件的最后,显示最新的日志。
journalctl -xe

实际操作发现systemd日志记录了所有历史命令和对应的SSH主机信息

GPT!未来可期!

三采
关注
  • 26
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
centos查看历史指令记录_centos配置history记录每个用户执行过的命令
weixin_39959505的博客
12-19 2160
对于系统管理员而言,history是一个很重要的命令,它能显示出之前在shell中执行过的命令,如果服务器发生异常,可以从这些命令中分析造成问题的原因。但是history显示的信息有局限性,默认保存最近的1000条命令,从历史信息中只能看到某个命令的执行有可能导致系统出了问题,对于进一步的追踪问题却无济于事。若能定位到是哪个用户在哪个时间在哪执行的命令,那将是多么愉快的一件事情!说了这么多,进入正...
linux必学的60个命令
02-19
最后,“Linux必学的60个命令(六)——其它命令”可能会涵盖一些实用但不那么常见的命令,如`history`查看命令历史,`alias`创建别名,`script`记录终端会话,`sed`和`awk`进行文本流处理,以及`tar`进行文件归档和...
centos用户保存历史执行命令
hxiang613的专栏
08-10 974
centos系统管理员保存每个用户每次登录所执行过的的操作记录
linux中指令的选项怎么记忆,linux基础命令(4)
weixin_39607837的博客
05-12 294
cat主要有三大功能:1.一次显示整个文件。$ catfilename2.从键盘创建一个文件。$ cat>filename只能创建新文件,不能编辑已有文件.3.将几个文件合并为一个文件: $catfile1file2 > file参数:-n 或 --number 由 1 开始对所有输出的行数编号-b 或 --number-nonblank 和 -n 相似,只不过对于空白行不编...
centos 记录用户登陆ip和执行命令
最新发布
weixin_43055250的博客
05-28 377
【代码】centos 记录用户登陆ip和执行命令
Centos 7系统日志
Mortalz7
09-30 7005
CentOS 7系统生成的日志主要是通过systemd日志守护进程进行处理和记录的。其日志记录的内容包括系统和服务启动和关闭的信息、系统运行过程中产生的错误、警告和通知信息等等。 系统日志通常被记录在/var/log目录下,主要的日志文件有: 1.messages: 系统基本日志信息,包括系统启动、关闭、网络等信息。 2.secure: 系统认证和授权相关的日志信息,如登录、su操作、sudo操作等。 3.journalctl: 通过journalctl命令可以查看系统日志的详细信息。
centos8命令记录
jinming215的博客
03-04 155
【代码】centos8命令记录
Centos7分用户记录历史命令至日志文件教程
高性价比服务器就选:蓝易云
10-23 512
每次用户退出登录时,命令历史记录会自动保存,而且不会重复记录相同的连续命令。这样可以更好地跟踪用户在系统中执行的命令操作。现在,CentOS 7系统会将用户历史命令记录至。
Centos 记录所有用户登录和操作的详细日志
IChen.的博客
09-08 2913
1、起因 最近Linux服务器上一些文件呗篡改,想追查已经查不到记录了,所以得想个办法记录下所有用户操作记录。 一般大家通常会采用history来记录,但是history有个缺陷就是默认是1000行,当然你也可以vim /etc/profile将1000修改成1000000行,但是这只是比较笼统的做法,看不到详细的用户来源已经操作记录,比如来源ip地址、操作时间、操作用户等。 所以我们不得不自己写代码来实现这样的功能。 2、自动记录脚本 在/etc/profile文件的末尾追加编写脚本如下: #set
CentOS7-命令-查看操作历史记录(history)
weixin_44257023的博客
03-08 1万+
CentOS7查看操作历史记录命令 当想知道当前用户都执行了什么命令可以使用命令 history 查看操作历史记录 不加参数默认显示全部操作 history 运行结果: 应为我清理了一下,所以没那么多记录 [cj@obj ~]$ history 1 history 2 ip a 3 history [cj@obj ~]$ 清除全部记录 -c history -c 执行完后可以再执行一下 history 查看是否成功,下图有一个是因为执行了 history 就新添
Linux命令
weixin_50848408的博客
09-15 244
Linux命令 一、常见命令规则:常见命令执行格式:命令名称 ,命令参数,命令对象 (1)命令名称、命令参数、命令对象之间要用空格键分隔。 (2)命令对象:一般是指要处理的文件、目录、用户等资源; (3)命令参数: 长格式(完整的选项名称),例子:man --help 短格式(单个字母的缩写),例子:man -h 如果一条命令中要使用多个参数,则短格式之间可以合并,且只需留一个“-”。例子:ls -al 长格式参数不可与长格式或短格式参数合并,但可以同时使用,例子:ls --all -l = ls -al
Centos记录命令
ChenWenKen的博客
01-15 266
Centos命令
CentOS系统通过日志反查是否被入侵
09-30
本文将详细介绍如何在CentOS系统中通过日志文件反查是否被入侵,以及如何通过脚本来记录所有登录用户操作历史。 首先,我们要关注的主要日志文件是 `/var/log/wtmp` 和 `/var/log/secure`。`/var/log/wtmp` 文件...
oralce9i 在centos 4.7的安装详细文档
02-28
Oracle 9i是一款历史悠久的关系型数据库管理系统,它在2001年发布,为当时的许多企业和组织提供了稳定、高效的数据存储解决方案。在CentOS 4.7这样的Linux发行版上安装Oracle 9i,需要遵循一系列步骤,这些步骤涵盖...
scripts:一些在centos7上安装软件的脚本和一些utilsconf
04-02
标题 "scripts:一些在centos7上安装软件的脚本和一些utilsconf" 暗示了这是一个关于在 CentOS 7 操作系统中自动化软件安装和配置的资源集合。其中可能包含了Groovy语言编写的脚本,以及一些实用工具和配置文件。...
mysql_4.1.21_compiled_ok_2021.tar.gz
02-04
这个"mysql_4.1.21_compiled_ok_2021.tar.gz"文件表明它是一个经过编译且在CentOS 3操作系统上成功运行的MySQL安装包。下面我们将深入探讨MySQL 4.1.21的主要特性、与CentOS 3的兼容性以及C++在其中的作用。 MySQL ...
Linux CentOS7 history命令
qq_36142959的博客
09-17 2201
linux查看历史命令可以使用history命令,该命令可以列出所有已键入的命令。这个命令的作用可以让用户或其他有权限人员,进行审计查看已录入的命令用户所键入的命令作为应保存的信息将记录在文件中,这个文件保存就是家目录中的一个隐藏文件~/.bash_history。了解历史命令存放的位置,对后面的各项讨论十分重要。我们对于前面用过的几个命令,可以通过方向键的上下按键来查看。这个很方便,但对于更前面的命令,将会加大难度,不好找到。只有用历史命令才便捷。
Linux-基础实用指令(不会还有人不知道吧)
热门推荐
有一分热,发一分光。
11-08 1万+
超详细的linux基本入门指令讲解,不知道的小白赶紧进来收藏一波~ 帮助 man help 目录 pwd ls cd 文件夹 mkdir rmdir 文件 touch cp rm mv > >> ln history 显示 cat more less head tail echo 查找 find locate grep 解压缩 gzip/gunzip zip/unzip tar 时间 date cal
Linuxcentos7)命令记录
xiaoye3708的博客
03-04 2857
1.查看ip地址:ip addr 2.ping +ip
centos操作命令
09-12
CentOS 是一种常见的 Linux 操作系统,下面是一些常用的 CentOS 操作命令: 1. 查看操作系统版本: ``` cat /etc/redhat-release ``` 2. 更新系统软件包: ``` yum update ``` 3. 安装软件包: ``` yum install <package_name> ``` 4. 卸载软件包: ``` yum remove <package_name> ``` 5. 查找软件包: ``` yum search <keyword> ``` 6. 查看已安装的软件包列表: ``` yum list installed ``` 7. 启动、停止或重新启动服务: ``` systemctl start <service_name> systemctl stop <service_name> systemctl restart <service_name> ``` 8. 设置服务开机自启: ``` systemctl enable <service_name> ``` 9. 查看网络信息: ``` ip addr ``` 10. 查看磁盘使用情况: ``` df -h ``` 这只是一些常见的命令,还有许多其他命令可以根据具体需求使用。如果你有特定的问题或需求,可以告诉我,我会尽力帮助你。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值