安全运营 -- 监控linux命令history

已于 2024-10-27 22:04:29 修改
阅读量3.1w 收藏 16
点赞数 16
分类专栏: 网络安全 安全运营 安全运维 文章标签: linux 安全 运维
于 2024-10-27 22:01:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/leeezp/article/details/143275113
版权

0x00 背景

最近,有个IT的同事给我提了一个需求,说想监控/root/.ssh/ 文件夹下的文件变动,于是我灵机一动,这个需求只要对执行过的历史命令做审计就可以了。

0x01 实践

我实现这个功能使用 rsyslog 和 firewalld 两个组件。

我的设计是把命令history 转发到/usr/share/commands.log这个文件,再对这个文件监控。

export PROMPT_COMMAND='history 1 >> /usr/share/commands.log'

这个命令是临时的,只对当前会话可以记录。

如果想永久重定向,执行下面的命令

vi ~/.bashrc; export PROMPT_COMMAND='history 1 >> /usr/share/commands.log'; source ~/.bashrc

 然后开始配置文件通过syslog配置轮转到 /var/log/firewalld.log,按照下面命令修改配置

vi /etc/rsyslog.d/commands.conf

# Load the imfile module
module(load="imfile")

# Monitor /usr/share/commands.log
input(type="imfile"
      File="/usr/share/commands.log"
      Tag="commands-log"
      Severity="info"
      Facility="local7")

# Send logs to /var/log/firewalld.log
local7.* /var/log/firewalld.log

重启 syslog服务 

systemctl restart rsyslog

当然,需要确保 firewall 处于开启状态

提供一份简单的检查firewall 状态代码

systemctl status firewalld
#开启firewalld Block 日志
firewall-cmd --set-log-denied=all                                                                                                
echo "Kern.* /var/log/firewalld.log">> /etc/rsyslog.d/firewalld.conf                                            
sed -i '3a /var/log/firewalld.log' /etc/logrotate.d/syslog       #第三行后面追加    
systemctl restart rsyslog   
#设定本机使用public安全区                                                                                                      
firewall-cmd --set-default-zone=public                                                                                    
#设定堡垒机网段                                                                                                                           
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.xx.x.xx/26" service name="ssh" accept"  
#添加/移除对外开放的端口号                                                                                                 
firewall-cmd --permanent --add-port 443/tcp 
firewall-cmd --add-port 137/udp --permanent
firewall-cmd --add-source 127.0.0.1/8 --permanent
firewall-cmd --add-source 0.0.0.0 --permanent 
firewall-cmd --remove-port 22/tcp --permanent 
#添加服务IP白名单                                                                                                                    
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.x.xx" accept"
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.xx.x.xx" port protocol="tcp" port="8089" accept"  
#reload
firewall-cmd --reload                                                                                                    
firewall-cmd --list-all 
#开机自启动
systemctl enable firewalld

只要监控这个文件即可,不止有firewalld.log 还有command history,可以根据需求自由添加。

【愚公系列】2023年06月 网络安全高级班 025.HW护网行动攻防演练介绍和工具
时光隧道
05-12 1万+
HW护网行动攻防演练是一种针对网络安全的实践活动,用于测试和提高组织的网络安全防御和攻击能力。通过模拟真实的网络攻击和防御行动,演练参与者在紧张压力下的反应和解决问题的能力,发现网络安全漏洞和提高安全意识,加强网络安全防御能力。攻防演练的成员组成一般包括攻击者、防御者和观察者三个角色。攻击者的任务是模拟真实的黑客攻击,找出系统的漏洞并利用其进行攻击,以检验系统的安全性。防御者则负责发现和修补漏洞,并保护系统不受攻击。观察者则负责记录和分析整个攻防过程,并提供建议和改进意见。
linux中记录详细的history
lylnina0421的专栏
12-20 390
将以下内容写入需要监控的用户的.bash_profile即可   #实时写入,而不是退出shell才写入的方法: export PROMPT_COMMAND="history -a"   #执行一次 $PROMPT_COMMAND   #设置history记录、显示的格式 export HISTTIMEFORMAT="$LOGNAME `echo $SSH_CLIENT | aw
linux系统监控:记录用户操作轨迹,谁动过服务器】
weixin_48659263的博客
06-26 1090
1、前言我们在实际工作当中,都碰到过误操作、误删除、误修改过配置文件等等事件。对于没有堡垒机的公司来说,要在linux系统上深究到底谁做过配置文件的修改、做过误删除是很头疼的事情,特别是遇到删库跑路的事件,更头大了。当然,如果你想查看在某个时间段到底呢?
服务器linux操作系统安全加固
绝不原创
02-13 744
五、SELinux 强化。一、系统更新与补丁管理。七、文件系统与权限加固。三、SSH 安全加固。四、防火墙与网络防护。
关于Linux中的history命令
蛤?
03-26 820
接触过Linux操作系统的朋友一般都知道history命令,直接输入history命令,会显示当前用户的历史输入记录。这个原理是linux会记录我们输入过的每一行命令到一个文件,而history命令就是其实就是检视这个文件。命令将关闭Bash shell的历史记录功能,使得你输入的命令不会保存在.bash_history文件中。这个设置只会影响当前的shell会话,当会话结束或者你重新启动一个新的shell时,该设置将被重置,历史记录功能将重新生效。可以直接对该文件进行编辑,增删改查都是可以的。
linux常见命令等总结-v1
fox_rabbit的博客
12-03 816
文章目录一、linux常见命令1、统计2、查看2.1 find查找文件2.2 字符串查找2.3 查看文件文本2.4 查看目录2.5 查看端口号等2.6 查看linux版本等2.7 查看服务器资源环境等相关信息3、切换路径4、查看进程等5、重启、关机6、新建、删除文件和文件夹7、修改文件/文件夹权限、所属组、所有者7.1 改变文件权限7.2 改变文件所属组7.3 改变文件所有者8、复制、移动8.1 本地cp 复制文件/文件夹命令8.2 远程scp复制文件/文件夹命令8.3 mv 移动文件、目录或更名9、解压缩
Linux学习笔记-B站韩顺平
热门推荐
m0_52041525的博客
02-26 2万+
linux 是一个开源、免费的操作系统,其稳定性、安全性、处理多并发已经得到业界的认可,
Linux 命令完全手册
pythonandaiot的博客
12-22 7287
这本《Linux 命令完全手册》将涵盖你作为开发者需要用到的 60 个核心 Bash 命令。每个命令都附有代码示例和用法提示。 这本手册遵循二八定律:你花两成的时间学习一个主题,便可获得其中八成的知识。 我觉得这种方式能给你一个全面的概述。 这本手册并不试图涵盖所有关于 Linux 及其命令的内容,而是专注于那些你在大部分时间里都会用到的小型核心命令,同时试着简化更复杂命令的用法。 以下介绍的命令,在 Linux、macOS、WSL 和其他类 UNIX 环境均可使用。 我希望这本手册的内...
08-Linux基础知识总结
atomLg的博客
04-25 210
如果不关闭NetworkManager会导致什么?网络管理有两个服务:第一个服务:network 默认使用的 有这个服务我们才能正常使用网卡第二个服务:NetworkManager 默认是开启的,必须关闭并且禁止开机运行如果不关闭NetworkManager,会导致争抢网络管理的控制权,我们没有对NetworkManager配置过任何的IP地址,使用服务器过程中,IP地址会出现空。
linux 大总结_挂载磁盘命令
m0_61408947的博客
06-21 751
个人电脑网络设置:找到网络连接中的VMnet8网卡设置:#vim /etc/sysconfig/network-scripts/ifcfg-ens33 进入网卡设置编辑#重启网卡 service network restart测试网络是否连通外网:ping www.baidu.com到此 centos7.4安装完成,网络也配置成功。
【性能调优实战】:优化history命令减少系统负担的策略
[【性能调优实战】:优化history命令减少系统负担的策略](https://www.delftstack.com/img/Linux/feature-image---bash-history-size.webp) # 1. 理解history命令的原理与影响 ## 1.1 历史记录的作用 在Unix-like...
第15章 告警和日志信息监控.docx
11-27
在IT管理领域,告警和日志信息监控是至关重要的环节,特别是在大数据平台的运营中。本章将探讨如何在Linux环境下对告警和日志信息进行有效的监控,以确保系统的稳定运行和问题的及时发现。 ### 实验一:查看大数据...
漏洞复现-zabbix系列
aming小老弟
01-09 6048
Zabbix SIA Zabbix是拉脱维亚Zabbix SIA公司的一套开源的监控系统。基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。该系统支持网络监控、服务器监控、云监控和应用监控等。能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。zabbix由2部分构成,zabbix server与可选组件zabbix agent。
Linux中查看占用端口号的进程信息的方法
ddu-to-end的博客
04-07 447
直接运行任一命令即可快速找到占用 某个端口的进程号!
Linux __命令和权限
最新发布
shsbyshdbdhjsk的博客
04-11 918
是什么:由上图可知操作系统是一款进行软硬资源管理的软件为什么:对下做好软硬件的管理工作(手段)操作系统要给用户提供一个良好的运行环境(目的)什么是良好:稳定 高效 安全目录的可执行权限是表示你可否在目录下执行命令如果目录没有-x权限,则无法对目录执行任何命令,甚至无法cd进入目录,即使这个目录仍然有-r读权限(这个地方容易犯错)而如果目录有-x权限,但没有-r权限,则用户可以执行命令,可以cd进入目录。但由于没有目录的读的权限 即可以执行ls命令,但是没有权限读出目录下的文档。
Linux 中进程上下文和中断上下文
GPU全栈博主
04-09 315
上下文指的是当前正在运行的代码所处的执行环境,包括:是否可睡眠(can sleep)是否可以访问用户空间当前正在执行的是哪个进程或中断是否可以阻塞等待资源在 linux 中上下文包含中断上下文和进程上下文;
Linux shell脚本编程
Liuzhengyue_的博客
04-09 1090
也就是给计算机发命令,让它帮你做事,你通过shell的小工具,用键盘输入指令,linux就会根据这些指令去执行任务,就像你法号一个指令一样。
Linux红帽:RHCSA认证知识讲解(十 二)调试 SELinux,如何管理 SELinux 的运行模式、安全策略、端口和上下文策略
2402_83322742的博客
04-07 2435
在红帽 Linux 系统的管理工作中,SELinux 的调试和管理是系统管理员经常会遇到的重要任务。这些任务对于保障系统的安全性和稳定性起着关键作用。本文将深入且详细地讲解如何调试 SELinux,包括如何管理 SELinux 的运行模式、安全策略、端口和上下文策略等内容。掌握这些技能,对于确保系统的可靠性和安全性意义重大。我的个人主页,欢迎来阅读我的其他文章我的RHCSA认证知识文章专栏欢迎来阅读指出不足。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值