zoukankan      html  css  js  c++  java
  • Ubutun 16.04添加操作命令审计

    1、启用/var/log/messages,监控系统命令

    说明:由于需要把操作命令记录到/var/log/messages,但是ubuntu默认并没有开启日志写入到这个文件

    tchua@ubuntu:~$ sudo vim /etc/rsyslog.d/50-default.conf
    	*.=info;*.=notice;*.=warn;
            auth,authpriv.none;
            cron,daemon.none;
            mail,news.none          -/var/log/messages
    tchua@ubuntu:~$ sudo /etc/init.d/rsyslog restart 

    注:把上面几行代码注释取消,之前是注释掉的

    2、把记录操作命令的语句写入环境变量配置文件

    sudo vim /etc/profile
    export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'
    sudo source /etc/profile #立即生效
    

    3、测试查看

    在窗口进行以下操作

    tchua@ubuntu:~$ cd
    tchua@ubuntu:~$ mkdir ceshi
    tchua@ubuntu:~$ touch 1
    tchua@ubuntu:~$ w
    

    查看是否记录操作日志

    Nov 10 10:26:17 ubuntu tchua: [euid=tchua]:tchua pts/1 2017-11-10 10:11 (192.168.2.180):[/home/tchua]cd
    Nov 10 10:26:23 ubuntu tchua: [euid=tchua]:tchua pts/1 2017-11-10 10:11 (192.168.2.180):[/home/tchua]mkdir ceshi
    Nov 10 10:26:27 ubuntu tchua: [euid=tchua]:tchua pts/1 2017-11-10 10:11 (192.168.2.180):[/home/tchua]touch 1
    Nov 10 10:26:30 ubuntu tchua: [euid=tchua]:tchua pts/1 2017-11-10 10:11 (192.168.2.180):[/home/tchua]w
    Nov 10 10:26:31 ubuntu tchua: [euid=tchua]:tchua pts/1 2017-11-10 10:11 (192.168.2.180):[/home/tchua]ll 

     根据结果,可以看出,可以记录哪个用户,哪个客户端IP操作的什么命令。

      

      

  • 相关阅读:
    3月工作问题总结
    【读书笔记】linux编程艺术
    项目管理工具 Trac入门
    [node.js]开放平台接口调用测试
    mysql 高并发更新计数问题
    memcache 问题 socket or its streams already null in trueClose call
    hadoop学习笔记
    node.js学习与应用
    mc参数备忘&javajson备忘
    WCF技术剖析_学习笔记之三
  • 原文地址:https://www.cnblogs.com/tchua/p/7813284.html
Copyright © 2011-2022 走看看