目的:監控登陸上linux 系統伺服器的使用者,所使用過的命令。
採用以下步驟配置使用者命令日誌審計功能:
1.建立使用者審計檔案存放目錄和審計日誌檔案 ;
mkdir -p /var/log/usermonitor/
2.建立使用者審計日誌檔案;
echo usermonitor >/var/log/usermonitor/usermonitor.log
3.將日誌檔案所有者賦予乙個最低許可權的使用者;
chown nobody:nobody /var/log/usermonitor/usermonitor.log
4.給該日誌檔案賦予所有人的寫許可權;
chmod 002 /var/log/usermonitor/usermonitor.log
5.設定檔案許可權,使所有使用者對該檔案只有追加許可權 ;
chattr +a /var/log/usermonitor/usermonitor.log
6.編輯vim /etc/profile檔案,新增如下指令碼命令;
export history_file=/var/log/usermonitor/usermonitor.log
export prompt_command='") #### $(whoami) #### $(history 1 | )"; } >>$history_file'
7.使配置生效
source /etc/profile
審計時檢視/var/log/usermonitor/usermonitor.log檔案即可,它會記錄登上伺服器所有使用者使用的命令。為了更安全,還可以將改檔案打包壓縮,ftp至其它本地。
Linux 日誌審計
工作中我們常常遇到,有的員工不安於被分配的許可權,老是想sudo echo ziji usr bin visudo nopasswd all來進行提權,造成誤刪了資料庫某條重要的資料,或者執行了一條命令對線上生產造成了嚴重的影響,部門老大又苦於找不到造成這種現象的操作者,cto對你們部門直接扣除績效...
Linux使用audit審計使用者執行命令
注 本文基於centos 6.5編寫 audit作為審計元件,除了可以監控檔案的修改,還可以監控系統呼叫的執行。受snoopy啟發,通過audit監控execve 系統呼叫,同樣可以實現使用者操作的記錄。audit作為基本元件會隨著系統一起安裝,就不再介紹安裝方式了,反正也可以直接yum安裝。新增如...
linux使用者行為審計
使用者行為審計 利用rsyslog對使用者行為進行審計 第一步 安裝rsyslog服務端 yum install y rsyslog msg,contains,curuser var log user audit 大意 從rsyslog獲取的資訊當中挑出關鍵字包含 curuser 的,列印到後面指定...