本文详细介绍了如何在Linux系统中创建审计记录文件,并通过修改文件权限确保安全性。接着,展示了如何在用户环境配置文件中设置命令历史记录,以便追踪用户的操作,包括时间戳、主机名、用户名、登录方式、执行命令等信息。最后,通过执行命令使更改立即生效。此设置有助于系统监控和审计。
创建审计记录文件
touch /var/local/mon.log
修改文件权限任意用户可以写,但是所有用户不能读执行
chmod 002 /var/local/mon.log
在/etc/profile末尾添加
export HISTORY_FILE=/var/local/mon.log
export PROMPT_COMMAND='{ date "+%Y-%m-%d %T ## `hostname` ## $(who am i |awk "{print \$1}") ## $(who am i |awk "{print \$2}") ## $realsourceip ## $(history 1 | { read x cmd; echo " $cmd"; })"; } >>$HISTORY_FILE'
realsourceip=`who am i | awk -F"[()]" '{print $2}'`
使修改生效
source /etc/profile
PROMPT_COMMAND说明:
date "+%Y-%m-%d %T 输出生时间
hostname 输出主机名
$(who am i |awk "{print \$1}") 输出用户名
$(who am i |awk "{print \$2}") 输出登陆方式
`who am i | awk -F"[()]" '{print $2}'` 即变量realsourceip,输出登陆ip
$(history 1 | { read x cmd; echo " $cmd"; }) 输出用户执行的命令
参考:https://blog.youkuaiyun.com/bigwood99/article/details/107681237
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
