Linux下記錄所有用戶的操作命令，以方便后期審計

再后面追加：

專注于為中小企業(yè)提供網(wǎng)站設(shè)計制作、做網(wǎng)站服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)浮梁免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動了成百上千家企業(yè)的穩(wěn)健成長，幫助中小企業(yè)通過網(wǎng)站建設(shè)實現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。

保存退出后，執(zhí)行 source /etc/profile 讓配置生效。

所有操作命令記錄存放在/var/log/cmd/{用戶}/目錄下，即使是同一個終端幾個不同的窗口，在該窗口退出或關(guān)閉時，該用戶目錄下會生產(chǎn)一個文件，多個窗口會生產(chǎn)多個文件，最后只要查看這些文件內(nèi)容，就可以看出歷史操作了。

本文轉(zhuǎn)自：

linux服務(wù)器安全審計怎么弄

材料：

Linux審計系統(tǒng)auditd 套件

步驟：

安裝 auditd

REL/centos默認(rèn)已經(jīng)安裝了此套件，如果你使用ubuntu server，則要手工安裝它：

sudo apt-get install auditd

它包括以下內(nèi)容：

auditctl :?即時控制審計守護(hù)進(jìn)程的行為的工具，比如如添加規(guī)則等等。

/etc/audit/audit.rules :?記錄審計規(guī)則的文件。

aureport :?查看和生成審計報告的工具。

ausearch :?查找審計事件的工具

auditspd :?轉(zhuǎn)發(fā)事件通知給其他應(yīng)用程序，而不是寫入到審計日志文件中。

autrace :?一個用于跟蹤進(jìn)程的命令。

/etc/audit/auditd.conf :?auditd工具的配置文件。

Audit 文件和目錄訪問審計

首次安裝?auditd?后, 審計規(guī)則是空的。可以用?sudo auditctl -l 查看規(guī)則。文件審計用于保護(hù)敏感的文件，如保存系統(tǒng)用戶名密碼的passwd文件，文件訪問審計方法：

sudo auditctl -w /etc/passwd -p rwxa

-w path :?指定要監(jiān)控的路徑，上面的命令指定了監(jiān)控的文件路徑 /etc/passwd

-p :?指定觸發(fā)審計的文件/目錄的訪問權(quán)限

rwxa ：?指定的觸發(fā)條件，r 讀取權(quán)限，w 寫入權(quán)限，x 執(zhí)行權(quán)限，a 屬性（attr）

目錄進(jìn)行審計和文件審計相似，方法如下：

$ sudo auditctl -w /production/

以上命令對/production目錄進(jìn)行保護(hù)。

3.?查看審計日志

添加規(guī)則后，我們可以查看 auditd 的日志。使用?ausearch?工具可以查看auditd日志。

sudo ausearch -f /etc/passwd

-f?設(shè)定ausearch 調(diào)出 /etc/passwd文件的審計內(nèi)容

4. 查看審計報告

以上命令返回log如下：

time-Mon Dec 22 09:39:16 2016

type=PATH msg=audit(1419215956.471:194): item=0?name="/etc/passwd"

inode=142512 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL

type=CWD msg=audit(1419215956.471:194):?cwd="/home/somebody"

type=SYSCALL msg=audit(1419215956.471:194): arch=40000003?syscall=5?

success=yes exit=3 a0=b779694b a1=80000 a2=1b6 a3=b8776aa8 items=1 ppid=2090 pid=2231?auid=4294967295 uid=1000 gid=1000?euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=4294967295

comm="sudo" exe="/usr/bin/sudo"?key=(null)

time :?審計時間。

name :?審計對象

cwd :?當(dāng)前路徑

syscall :?相關(guān)的系統(tǒng)調(diào)用

auid :?審計用戶ID

uid 和 gid :?訪問文件的用戶ID和用戶組ID

comm :?用戶訪問文件的命令

exe :?上面命令的可執(zhí)行文件路徑

以上審計日志顯示文件未被改動。

Linux自帶的審計功能

Linux自帶的script命令，可以記錄終端的輸出，用來完成簡單的審計功能

這樣用戶登陸后執(zhí)行的操作都會記錄到/mnt/log/script/*.log（目錄自己根據(jù)服務(wù)器目錄定義）里，這里把用戶ID 大于1000的都記錄下操作。

當(dāng)前文章：linux審計用戶命令 linux 審計
網(wǎng)頁URL：http://www.chinadenli.net/article36/hipgpg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站設(shè)計、網(wǎng)站維護(hù)、網(wǎng)頁設(shè)計公司、標(biāo)簽優(yōu)化、靜態(tài)網(wǎng)站、用戶體驗

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)