欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

shell如何記錄用戶(hù)的IP與命令詳解

 更新時(shí)間:2017年06月29日 10:50:25   作者:tlanyan  
這篇文章主要給大家介紹了關(guān)于shell是如何記錄用戶(hù)的IP與命令的相關(guān)資料,記錄用戶(hù)輸入過(guò)的命令使用history命令,而記錄用戶(hù)的IP可能稍復(fù)雜一些,需要的朋友們下面跟著小編一起來(lái)看看吧。

記錄輸入的命令

history命令可以查看用戶(hù)輸入過(guò)的命令,一個(gè)典型history命令輸出如下:

980 2017-05-29 20:17:37 cd -
981 2017-05-29 20:17:41 cat index.html
982 2017-05-29 20:20:11 vim index.html
983 2017-05-29 20:39:18 cd -
984 2017-05-29 20:39:25 cd /var/log/nginx/
985 2017-05-29 20:39:27 vim access.log
986 2017-05-29 20:50:10 netstat -ntlp
987 2017-05-31 11:04:39 tmux a -t0
988 2017-05-31 11:15:42 exit
989 2017-05-31 12:32:38 tmux a -t0

記錄IP

為了記錄用戶(hù)的IP,需要首先獲取用戶(hù)的登錄IP。由于在用戶(hù)登入期間,會(huì)話不會(huì)斷開(kāi),所以只需獲取一次即可。

獲取IP命令: who am i | awk '{print $NF}' | sed -e 's/[()]//g'

接著按照 username@ip datetime command 的格式記錄用戶(hù)的命令,這需要設(shè)置HISTTIMEFORMAT的值。獲取IP和設(shè)置命令格式結(jié)合起來(lái):

IP=`who am i | awk '{print $NF}' | sed -e 's/[()]//g'`
export HISTTIMEFORMAT=$USER@$IP %F %T

為了讓上述命令對(duì)所有用戶(hù)生效,可將其寫(xiě)到/etc/profile文件中。設(shè)置完畢后(可能需要重新登錄,或者用source命令重新加載/etc/profile),history命令輸出如下類(lèi)似結(jié)果:

412 root@8.8.8.8 2017-06-02 22:03:27 netstat -nt
414 root@8.8.8.8 2017-06-02 22:03:38 netstat -ntpl
415 root@8.8.8.8 2017-06-03 14:17:09 history
416 root@8.8.8.8 2017-06-03 14:17:30 tmux ls
417 root@8.8.8.8 2017-06-03 14:17:34 tmux
418 root@8.8.8.8 2017-06-03 14:17:49 tmux a -t0

history命令的內(nèi)容保存在用戶(hù)的~/.bash_history文件中,用戶(hù)可隨時(shí)更改或者清除。為了統(tǒng)一管理用戶(hù)的命令記錄,我們希望用戶(hù)執(zhí)行命令后,執(zhí)行的命令能輸出到某個(gè)文件內(nèi)。達(dá)到這個(gè)目的需要 PROMPT_COMMAND 環(huán)境變量的協(xié)助。

設(shè)置PROMPT_COMMAND將用戶(hù)的上一條命令log到syslog里面去:

export PROMPT_COMMAND="history 1 | logger -t cmd_log -p user.notice"

logger命令將信息輸出到/var/log/messages中。任意輸入一個(gè)命令,然后打開(kāi)/var/log/messages,會(huì)看到已經(jīng)記錄在案。/var/log/messages文件只有root有權(quán)限訪問(wèn),從而達(dá)到了記錄用戶(hù)IP和命令的目的。

如果你熟悉syslog,可以將命令記錄輸出到單獨(dú)的文件中。這需要在logger命令的-p選項(xiàng)中指定工具名稱(chēng)和等級(jí),例如local2.notice,然后編輯/etc/rsyslog.conf,將local2的信息輸出到單獨(dú)文件: local2.* /var/log/command.log,最后重啟rsyslog服務(wù)。

通過(guò)如上設(shè)定,即可在用戶(hù)無(wú)感知的情況下log用戶(hù)的IP、時(shí)間和操作命令。

對(duì)用戶(hù)來(lái)說(shuō),如何繞過(guò)?可以有兩種方式:

  1. 將命令寫(xiě)到腳本,執(zhí)行腳本;
  2. unset PROMPT_COMMAND變量。

參考

https://askubuntu.com/questions/93566/how-to-log-all-bash-commands-by-all-users-on-a-server

http://moper.me/ssh-audit-chats.html

http://zhu8337797.blog.163.com/blog/static/170617549201222912830483/

總結(jié)

以上就是這篇文章的全部?jī)?nèi)容了,希望本文的內(nèi)容對(duì)大家的學(xué)習(xí)或者工作能帶來(lái)一定的幫助,如果有疑問(wèn)大家可以留言交流,謝謝大家對(duì)腳本之家的支持。

相關(guān)文章

最新評(píng)論