0409笔记

最新推荐文章于 2025-04-09 10:47:05 发布

原创最新推荐文章于 2025-04-09 10:47:05 发布 · 99 阅读

0 ·

CC 4.0 BY-SA版权

本文介绍如何在Linux系统中设置用户操作记录的实时审计功能，防止普通用户删除操作记录，确保责任追溯。通过修改profile文件，创建特定目录，并设置防删除权限，实现历史命令的完整保存。

grep

grep 过滤作用
-v 取反
-n x显示行号
^ 表示开头 ‘^#’ 所有以#开头的文件
‘[^0-9]’ 非0-9 只要不是数字的任何行都符合要求
‘r…o’ .表示任意一个字符
‘o*o’左边表示的字符匹配0-n次
. *任意一个字符任意次
o+o ：+前面的字符1次或多次
+要用转义符号或直接用egrep
“|” 表示并列使用前要用-E
o{2} 表示匹配2次o
grep -v ‘^$’ /etc/passwd 过滤掉所有空白行

课堂笔记

Linux 系统添加操作记录审计
来源：互联网作者：佚名时间：2014-04-21 21:34
有时候我们需要对线上用户操作记录进行历史记录待出现问题追究责任人，但Linux系统自带的history命令用户有自行删除权限，那怎么
有时候我们需要对线上用户操作记录进行历史记录待出现问题追究责任人，，但Linux系统自带的history命令用户有自行删除权限，那怎么设置可以让用户的操作记录实时记录，并保证普通用户无权删除呢？本文教你一招

1.mkdir -p /usr/local/domob/records/

chmod 777 /usr/local/domob/records/

chmod +t /usr/local/domob/records/ ///防删除位

2.vi /etc/profile 在最后添加下面的代码

if [ ! -d /usr/local/domob/records/${LOGNAME} ]

then

mkdir -p /usr/local/domob/records/${LOGNAME}

chmod 300 /usr/local/domob/records/${LOGNAME}

export HISTORY_FILE="/usr/local/domob/records/${LOGNAME}/bash_history" ///历史文件路径

export PROMPT_COMMAND=’{ date “+%Y-%m-%d %T ##### $(who am i |awk “{print $1” “$2” “$5}”) #### $KaTeX parse error: Expected '}', got 'EOF' at end of input: \dotsd x cmd; echo "$ cmd”; })"; } >>$HISTORY_FILE’

//PROMPT_COMMAND是系统内置变量，执行前发生的事。
$()表示去（）里的结果。

添加操作记录的目的：
1.非正常退出不记录
2.history记录默认只有1000条限制，多了看不到。