linux系統下可通過history命令檢視使用者所有的歷史操作記錄,但預設情況下,history命令只能檢視使用者歷史操作記錄,並不能區分使用者以及操作時間,不便於審計分析。
當然,一些不好的操作習慣也可能通過命令歷史洩露敏感資訊。
通過設定export histtimeformat=』\%f \%t 『,讓歷史記錄中帶上命令執行時間。
這個配置可以寫在/etc/profile中,當然如果要對指定使用者做配置,這個配置可以寫在/home/\$user/.bash_profile中。
unset i
unset -f pathmunge
export histtimeformat='%f %t '
要使配置立即生效請執行source /etc/profile,再檢視history記錄,可以看到記錄中帶上了命令執行時間。
1012 2021-03-22 13:59:10 vim /etc/profile
1013 2021-03-22 13:59:18 source /etc/profile
1014 2021-03-22 13:59:22 history
如果想要實現更細化的記錄,比如登陸過系統的使用者、ip位址、操作命令以及操作時間一一對應,可以通過在/etc/profile裡面加入以下**實現。
export histtimeformat="%f %t `who -u 2>/dev/null | awk ''|sed 's/[()]//g'` `whoami` "
修改/etc/profile並載入後,history記錄如下,時間、ip、使用者及執行的命令都一一對應
1042 2021-03-22 14:20:39 124.193.98.180 root vim /etc/profile
1043 2021-03-22 14:20:52 124.193.98.180 root source /etc/profile
1044 2021-03-22 14:20:53 124.193.98.180 root history
通過以上配置,我們基本上可以滿足日常的審計工作了,但了解系統的朋友應該很容易看出來,這種方法只是設定了環境變數,攻擊者unset掉這個環境變數,或者直接刪除命令歷史,對於安全應急來說,這無疑是乙個災難。
針對這樣的問題,我們應該通過修改bash原始碼,讓history記錄通過syslog傳送到遠端logserver中,大大增加了攻擊者對history記錄完整性破壞的難度。
Better History(歷史記錄)
外掛程式介紹 剛剛看到在網頁上看到一篇好的文章或者正在編輯什麼,不小心一時手賤關掉了網頁,再開啟就找不到了,想必很多朋友經常遇到這樣的事,better history 歷史記錄 讓你更好地檢視您的歷史記錄。為檢視您的歷史記錄帶來最好的搜尋體驗,最清晰的介面和最有幫助的篩選。使用說明 將better ...
MySQL Event歷史記錄
需求 sql server的作業歷史 job 記錄是儲存在msdb庫中的,很方便就查詢相關的job定義,計畫和歷史記錄,而mysql的event卻沒有歷史記錄。為方便檢視event是否正常執行以及執行結果,通過以下兩個步驟來實現類似的功能。實現 1.在mysql庫建立event執行的歷史記錄表 cr...
HTML5 history歷史記錄的幾個關鍵詞
mark一下,省的忘了而已 1.html4時代的history api a history.length 當前歷史列表中的歷史記錄數 我大概測了下,ie6 是從0開始的,其他的是從1開始的,若有誤請反饋哈,b history.go n 前進或後退n條記錄,當n 0或空時會重新整理當前頁 c hist...