Linux 系統(tǒng)下可通過 history 命令查看用戶所有的歷史操作記錄，在安全應(yīng)急響應(yīng)中起著非常重要的作用，但在未進(jìn)行附加配置情況下，history 命令只能查看用戶歷史操作記錄，并不能區(qū)分用戶以及操作時(shí)間，不便于審計(jì)分析。

創(chuàng)新互聯(lián)公司是一家專業(yè)提供順城企業(yè)網(wǎng)站建設(shè),專注與網(wǎng)站建設(shè)、成都網(wǎng)站建設(shè)、H5高端網(wǎng)站建設(shè)、小程序制作等業(yè)務(wù)。10年已為順城眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)的建站公司優(yōu)惠進(jìn)行中。

當(dāng)然，一些不好的操作習(xí)慣也可能通過命令歷史泄露敏感信息。

下面我們來介紹如何讓 history 日志記錄更細(xì)化，更便于我們審計(jì)分析。

1、命令歷史記錄中加時(shí)間

默認(rèn)情況下如下圖所示，沒有命令執(zhí)行時(shí)間，不利于審計(jì)分析。

通過設(shè)置 export HISTTIMEFORMAT='% F % T '，讓歷史記錄中帶上命令執(zhí)行時(shí)間。

注意”% T” 和后面的”’” 之間有空格，不然查看歷史記錄的時(shí)候，時(shí)間和命令之間沒有分割。

要一勞永逸，這個(gè)配置可以寫在 /etc/profile 中，當(dāng)然如果要對指定用戶做配置，這個(gè)配置可以寫在 /home/$USER/.bash_profile 中。

本文將以 /etc/profile 為例進(jìn)行演示。要使配置立即生效請執(zhí)行 source /etc/profile，我們再查看 history 記錄，可以看到記錄中帶上了命令執(zhí)行時(shí)間。

如果想要實(shí)現(xiàn)更細(xì)化的記錄，比如登陸過系統(tǒng)的用戶、IP 地址、操作命令以及操作時(shí)間一一對應(yīng)，可以通過在 /etc/profile 里面加入以下代碼實(shí)現(xiàn)

export HISTTIMEFORMAT="\%F \%T`who \-u am i 2>/dev/null| awk '{print $NF}'|sed \-e 's/[()]//g'``whoami`

注意空格都是必須的。

修改 /etc/profile 并加載后，history 記錄如下，時(shí)間、IP、用戶及執(zhí)行的命令都一一對應(yīng)。

通過以上配置，我們基本上可以滿足日常的審計(jì)工作了，但了解系統(tǒng)的朋友應(yīng)該很容易看出來，這種方法只是設(shè)置了環(huán)境變量，攻擊者 unset 掉這個(gè)環(huán)境變量，或者直接刪除命令歷史，對于安全應(yīng)急來說，這無疑是一個(gè)災(zāi)難。

針對這樣的問題，我們應(yīng)該如何應(yīng)對，通過修改 bash 源碼，讓 history 記錄通過 syslog 發(fā)送到遠(yuǎn)程 logserver 中，大大增加了攻擊者對 history 記錄完整性破壞的難度。

history 高級用法

上面是記錄 History 的方法。我們也可以通過寫入文件，更加方便的記錄和審計(jì)命令

文章題目：誰動(dòng)了我的主機(jī)？之活用History命令
分享鏈接：http://www.chinadenli.net/article4/sdeioe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供商城網(wǎng)站、云服務(wù)器、網(wǎng)站內(nèi)鏈、品牌網(wǎng)站建設(shè)、手機(jī)網(wǎng)站建設(shè)、動(dòng)態(tài)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)