history用戶操作審計記錄方案_beta

【概述】:多人共同使用的服务器权限确实不好管理,误操作等造成故障,无法追究,最好的辦法就是将用户操作实时记录到日志,并推送到远程日志服务器上。包括(用户登陆时间,目录,操作命令及时间戳等)。以便事后追查。

测试了网上的多种方法,但均含有不同程度bug,或者不能满足需求。对于安装修改bash4.1的方法,暂未测试。力求在尽可能少的改动服务器的原则上,寻求解决方案。测试过至少4这种方法。当然本文此法也不是最好的,简单单是不隐蔽。在此感谢,itnihao,hxl2009等童鞋的共同测试与讨论。其中测试过的2种方法有:

http://blog.rootshell.be/2009/02/28/bash-history-to-syslog/

http://jablonskis.org/2011/howto-log-bash-history-to-syslog/

【先睹为快】




    		    history用戶操作審計記錄方案_beta

【环境】Centos 5.8 ,2台。

日志服务器IP:192.168.217.129

客户机IP:192.168.217.130

【服务器端logserver配置】

  1. # echo "*.info /var/log/client" >> /etc/syslog.conf #配置日志保存文件,把该文件第一行的*.info 提出来。单独放一行。
  2. # service syslog restart #重启服务
  1. #vim /etc/sysconfig/syslog #接收远端日志写入
  2. SYSLOGD_OPTIONS="-m 1 -r" # -m是时间,分钟,-r表示接收远端日志写入

【客户端client配置】

1、客户机[client],/etc/bashrc吗,末行中添加命令行。将用户操作记录到日志文件。也可以添加到/etc/profile,但是有时候不生效,重新登录必须手动source。

  1. #vim /etc/bashrc
  2. export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'
  3. # source /etc/bashrc

2、客户机修改日志服务器。

  1. # echo "192.168.217.129 logserver" >> /etc/hosts #日志服务器地址
  2. # echo "*.info @logserver" >> /etc/syslog.conf #将info日志推送到日志服务器,把该文件第一行的*.info 提出来。单独放一行。
  3. # service syslog restart #重启syslog

【测试】在客户机输入命令,在日志服务器上查看(注意防火墙,syslog详细配置门请自行查询资料)。




    		    history用戶操作審計記錄方案_beta

可以看到,日志全部被记录下来。但如果是重复使用的命令,可能不会记录。




    		    history用戶操作審計記錄方案_beta

本文出自 “川西阳光” 博客,请务必保留此出处http://xikder.blog.51cto.com/1423200/848013

更多相关文章
  • 项目地址:https://github.com/shanhuhai5739/conn 审计在运维中占有很重要的一部分,审计追溯历史问题.conn是connection的前缀. conn堡垒机:conn修改了param
  • 


    		    增強你的IT管理——用Bginfo收集客戶端信息,記錄用戶登錄情況
    做IT管理的朋友可能经常会碰到下面的某种情况, 1.需要知道在我的AD里有那些用户登录过域
  • win8客戶端開發記錄7
      博客园cnblogs 第一版发布后,许多热心的同学积极的安装试用,并提出了宝贵的意见和建议,这两天总结归纳了第一版的各种问题,并一一修复,昨天晚上重新提交了第二版 ( 不知几何时能通过认证 T_T ) .  第一版的缺陷总结如下:    1. 文章内容横向排列,颠覆用户阅读习惯, 特别对于包含代 ...
  • #前端有SLB服务,记录客户端真实IP信息 log_format main 'realip:$http_x_forwarded_for slbip:$remote_addr-$remote_user [$time_l
  • win8客戶端開發記錄6
      经历了一个多月的等待,博客园cnblogs win8客户端终于通过审核并发布到微软应用商店. 因为是刚上线的,所以暂时无法从应用商店直接搜索到,有兴趣的同学可以从下面的链接下载: http://apps.microsoft.com/windows/zh-cn/app/cnblogs/38dedb ...
  • Syslog-ng+snoopy日志审计解决方案 简介:本解决方案通过syslog-ng+snoopy实现完善的LINUX/UNIX日志集中存储和用户操作行为记录审计功能.Snoopy可以实时捕获用户SHELL下输入的命令并传递给syslog,由于系统默认的syslog功能简单,不支持加密传输,故采
  • 题目链接: http://acm.hdu.edu.cn/showproblem.php?pid=1026 题目大意:最短时间内出迷宫.迷宫里要杀怪,每个怪有一定HP,也就是说要耗一定时.输出方案. 解题思路: 要是没
  • 維護web伺服器最重要的就是要每天都關注網站的訪問日誌,但是每天面對幾百兆的日誌文件實在是非常頭大,所以可以從根源上給日誌減肥一下,讓日誌只記錄對自己有用的內容就變得非常重了. Nginx伺服器要修改這個配置是非常簡單的,反而apache比較麻煩,網上類似的文章也比較少,最後自己研究了一下apach
一周排行