zoukankan      html  css  js  c++  java
  • Ubutun 16.04添加操作命令审计

    1、启用/var/log/messages,监控系统命令

    说明:由于需要把操作命令记录到/var/log/messages,但是ubuntu默认并没有开启日志写入到这个文件

    tchua@ubuntu:~$ sudo vim /etc/rsyslog.d/50-default.conf
    	*.=info;*.=notice;*.=warn;
            auth,authpriv.none;
            cron,daemon.none;
            mail,news.none          -/var/log/messages
    tchua@ubuntu:~$ sudo /etc/init.d/rsyslog restart 

    注:把上面几行代码注释取消,之前是注释掉的

    2、把记录操作命令的语句写入环境变量配置文件

    sudo vim /etc/profile
    export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'
    sudo source /etc/profile #立即生效
    

    3、测试查看

    在窗口进行以下操作

    tchua@ubuntu:~$ cd
    tchua@ubuntu:~$ mkdir ceshi
    tchua@ubuntu:~$ touch 1
    tchua@ubuntu:~$ w
    

    查看是否记录操作日志

    Nov 10 10:26:17 ubuntu tchua: [euid=tchua]:tchua pts/1 2017-11-10 10:11 (192.168.2.180):[/home/tchua]cd
    Nov 10 10:26:23 ubuntu tchua: [euid=tchua]:tchua pts/1 2017-11-10 10:11 (192.168.2.180):[/home/tchua]mkdir ceshi
    Nov 10 10:26:27 ubuntu tchua: [euid=tchua]:tchua pts/1 2017-11-10 10:11 (192.168.2.180):[/home/tchua]touch 1
    Nov 10 10:26:30 ubuntu tchua: [euid=tchua]:tchua pts/1 2017-11-10 10:11 (192.168.2.180):[/home/tchua]w
    Nov 10 10:26:31 ubuntu tchua: [euid=tchua]:tchua pts/1 2017-11-10 10:11 (192.168.2.180):[/home/tchua]ll 

     根据结果,可以看出,可以记录哪个用户,哪个客户端IP操作的什么命令。

      

      

  • 相关阅读:
    最好的在线打字练习网站
    input 的 type 等于 file
    windows 删除文件或文件夹
    nvm 管理 node 版本
    github 的 fork 取消功能
    window cmd 命令行下创建文件夹和文件
    17_10_11 Redis 指令
    17_10_11 Mac 上的brew 安装指令
    17_10_11 运算符&,&&,>> 和 >>>
    17_10_10 乱码问题总结
  • 原文地址:https://www.cnblogs.com/tchua/p/7813284.html
Copyright © 2011-2022 走看看