PROMPT_COMMAND会在命令执行前执行。
$(who am i |awk '{print \$2,\$5}') 会输出登录用户用的tty和登录服务器的远程电脑IP或者主机名。
$PWD 是内建变量,显示当前执行命令的工作目录。
history 1 | { read x cmdecho ${cmd}会输出最后一条历史命令中的执行信息。
为了不让用户修改变量,使用 declare -rx 命令定义了只读环境变量。这里要注意使用 readonly 命令也可以定义只读变量,但是用户用env命令看不到,只有用 export PROMPT_COMMAND 命令将变量设置为环境变量后才能看到。
变量加到 /etc/bashrc 是因为用户登录后会加载这里的配置,包括 sudo sudo su sudo su - su root su - root 。如果加到其他文件里则部分命令后就不会加载变量,自行尝试。
修改rsyslog是可以自定义日志输出的文件路径和名字,用 logger -p 这个命令配合使用。
新增logrotate配置则是需要切割日志,防止单个日志文件太大,以及做好切割备份,方便查询。
【一】
在 /etc/profile 最后添加如下行,则日志会直接输出到 messages 日志里。
这种方式:不定义日志格式,直接将日志写到messages日志文件里,和其他日志放一起,但是可以指定日志标签,方便检索。
缺点是(1)会导致日志增大,并且用户提权后因-t标签的存在,导致不会记录提权前的用户。(2)不能自定义日志路径。
【二】
缺点:用户可以删除日志文件。
因为普通用户和root都要往日志文件里写,所以需要给普通用户加一个附加组;并且如果日志文件不存在,普通用户登录后也需要新建,所以普通用户必须有日志文件父目录的写权限。为了能让所有普通用户都可以写,就给Command目录加了SGID权限以及修改目录属组为audit。这样普通用户在这个目录下创建的日志文件的属组会自动继承Command目录的属组,也就是audit。 (umask 002 &&touch $HISTORY_FILE) 命令则是因为root用户生成的日志文件权限是644,属组没有写权限。所以这里用 启动子shell并修改umask的方式生成日志文件。这样就不会修改root默认的 0022 的umask。
其他审计软件:
https://www.splunk.com/ 免费2个月
1、首先打开Linux直接输入一个history即可。
2、然后如果想执行历史中的某个命令,直接感叹号加行号即可。
3、还可以运用感叹号加命令的起始字符即可调出历史命令。
4、输完了以后按回车你就会看到命令起作用了。
5、然后就会显示Linux中各个用户具体的 *** 作时间和 *** 作,通过以上步骤即可解决查看Linux中各个用户的历史 *** 作命令的问题。
linux列出所有用户命令如下:useradd注:添加用户;
adduser注:添加用户;
passwd注:为用户设置密码;
usermod注:修改用户命令,可以通过usermod来修改登录名、用户的家目录等等;
pwcov注:同步用户从/etc/passwd到/etc/shadow;
pwck注:pwck是校验用户配置文件/etc/passwd和/etc/shadow文件内容是否合法或完整;
pwunconv注:是pwcov的立逆向 *** 作,是从/etc/shadow和/etc/passwd创建/etc/passwd,然后会删除/etc/shadow文件;
finger注:查看用户信息工具;
id注:查看用户的UID、GID及所归属的用户组;
chfn注:更改用户信息工具;
su注:用户切换工具;
sudo注:sudo是通过另一个用户来执行命令(executeacommandasanotheruser),su是用来切换用户,然后通过切换到的用户来完成相应的任务,但sudo能后面直接执行命令,比如sudo不需要root密码就可以执行root赋与的执行只有root才能执行相应的命令;但得通过visudo来编辑/etc/sudoers来实现;
visudo注:visodo是编辑/etc/sudoers的命令;也可以不用这个命令,直接用vi来编辑/etc/sudoers的效果是一样的。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)