广场 › 服务系统 › Linux系统下的用户审计方法

小蚂蚁 发表于 2021-11-26 15:20:41

Linux系统下的用户审计方法

这篇文章主要介绍了Linux系统下的用户审计方法,包括基本的命令和一个记录用户行为的实例,需要的朋友可以参考下
创建审计日志目录


代码如下:
mkdir -p /var/log/user_audit创建用户审计日志文件；


代码如下:
touch /var/log/user_audit/user_audit.log将文件赋予低权限用户


代码如下:
chown nobody:nobody /var/log/user_audit/user_audit.log赋予所有人写权限


代码如下:
chmod 002 /var/log/user_audit/user_audit.log赋予所有用户追加权限


代码如下:
chattr +a /var/log/user_audit.log编辑/etc/profile 增加以下内容；


代码如下:
export HISTORY_FILE=/var/log/user_audit/user_audit.log

export PROMPT_COMMAND='{ date "+%y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5}")实例
多人共同使用的服务器权限确实不好管理，误操作等造成故障，无法追究，最好的办法就是将用户操作实时记录到日志，并推送到远程日志服务器上。包括（用户登陆时间，目录，操作命令及时间戳等)。以便事后追查。
环境：centos5.5 X86_64 2台            #备注：把两台主机的防火墙和selinux关闭。在进行操作。
(一)日志服务器IP:10.0.2.164
(二)客户端服务器IP：10.0.2.165
1.先在日志服务器10.0.2.164主机上操作：

代码如下:
# echo "*.info /var/log/client" >> /etc/syslog.conf

#配置日志保存文件，把该文件第一行的*.info 提出来。单独放一行。

# service syslog restart #重启syslog日志服务。

Shutting down kernel logger: [ OK ]

Shutting down system logger: [ OK ]

Starting system logger: [ OK ]

Starting kernel logger: [ OK ]

# vim /etc/sysconfig/syslog #接收客户端写入。
把SYSLOGD_OPTIONS="-m 0"更改为：SYSLOGD_OPTIONS="-m 1 -r"
2.然后在客户端服务器10.0.2.165主机上操作：

代码如下:
# vim /etc/profile #添加如下行。

export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "":$(who am i):[`pwd`]"$msg"; }'

# source /etc/profile #重新手动source更新。
2.1.客户机修改日志服务器10.0.2.165主机上操作：

代码如下:
# echo "10.0.2.164 logserver" >> /etc/hosts #日志服务器地址。

# echo "*.info @logserver" >> /etc/syslog.conf

#将info日志推送到日志服务器，把该文件第一行的*.info 提出来。单独放一行。

# /etc/init.d/syslog restart #重启syslog日志。

Shutting down kernel logger: [ OK ]

Shutting down system logger: [ OK ]

Starting system logger: [ OK ]

Starting kernel logger: [ OK ]
3.测试，在客户端主机上10.0.2.165主机上测试并操作：                     

代码如下:
# test

# echo "this is a test 1"

this is a test 1

# echo "this is a test 2"

this is a test 2

# echo "this is a test 3"

this is a test 3

# echo "this is a test 4"

this is a test 4

# echo "this is a test 5"

this is a test 5
4.返回日志服务器10.0.2.164主机上看结果，是否记录下来客户端主机执行的操作？

代码如下:
# cat /var/log/client

Apr 6 10:37:55 10.0.2.165 root: :root pts/1 Apr 6 10:37 (10.0.2.188):echo "this is a test1"

Apr 6 10:37:59 10.0.2.165 root: :root pts/1 Apr 6 10:37 (10.0.2.188):echo "this is a test2"

Apr 6 10:38:01 10.0.2.165 root: :root pts/1 Apr 6 10:37 (10.0.2.188):echo "this is a test3"

Apr 6 10:38:04 10.0.2.165 root: :root pts/1 Apr 6 10:37 (10.0.2.188):echo "this is a test4"

Apr 6 10:38:06 10.0.2.165 root: :root pts/1 Apr 6 10:37 (10.0.2.188):echo "this is a test5"
返回参数分别为：#操作时间#操作IP#有效用户#实际登陆时间#路径#使用的命令
http://www.zzvips.com/article/11716.html

查看完整版本: Linux系统下的用户审计方法