温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

Linux系统下如何实现用户审计

发布时间:2021-09-27 09:35:47 来源:亿速云 阅读:155 作者:iii 栏目:系统运维

这篇文章主要讲解了“Linux系统下如何实现用户审计”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“Linux系统下如何实现用户审计”吧!

创建审计日志目录
 

代码如下:

mkdir -p /var/log/user_audit

创建用户审计日志文件;
 

代码如下:

touch /var/log/user_audit/user_audit.log

将文件赋予低权限用户
 

代码如下:

chown nobody:nobody /var/log/user_audit/user_audit.log

赋予所有人写权限
 

代码如下:

chmod 002 /var/log/user_audit/user_audit.log

赋予所有用户追加权限
 

代码如下:

chattr +a /var/log/user_audit.log

编辑/etc/profile 增加以下内容;
 

代码如下:

export HISTORY_FILE=/var/log/user_audit/user_audit.log
export PROMPT_COMMAND='{ date "+%y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5}")

实例
多人共同使用的服务器权限确实不好管理,误操作等造成故障,无法追究,最好的办法就是将用户操作实时记录到日志,并推送到远程日志服务器上。包括(用户登陆时间,目录,操作命令及时间戳等)。以便事后追查。
环境:centos5.5 X86_64 2台              #备注:把两台主机的防火墙和selinux关闭。在进行操作。
(一)日志服务器IP:10.0.2.164
(二)客户端服务器IP:10.0.2.165
1.先在日志服务器10.0.2.164主机上操作:

代码如下:

[root@MySQL-B ~]# echo "*.info    /var/log/client" >> /etc/syslog.conf
#配置日志保存文件,把该文件第一行的*.info 提出来。单独放一行。
[root@MySQL-B ~]# service syslog restart                                #重启syslog日志服务。
Shutting down kernel logger: [  OK  ]
Shutting down system logger: [  OK  ]
Starting system logger: [  OK  ]
Starting kernel logger: [  OK  ]
[root@MySQL-B ~]# vim /etc/sysconfig/syslog                             #接收客户端写入。


把SYSLOGD_OPTIONS="-m 0"  更改为:SYSLOGD_OPTIONS="-m 1 -r"
2.然后在客户端服务器10.0.2.165主机上操作:

代码如下:

[root@MySQL-A ~]# vim /etc/profile                                      #添加如下行。
export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'
[root@MySQL-A ~]# source /etc/profile                                   #重新手动source更新。


2.1.客户机修改日志服务器10.0.2.165主机上操作:

代码如下:

[root@MySQL-A ~]# echo "10.0.2.164 logserver" >> /etc/hosts             #日志服务器地址。
[root@MySQL-A ~]# echo "*.info   @logserver" >> /etc/syslog.conf      
#将info日志推送到日志服务器,把该文件第一行的*.info 提出来。单独放一行。
[root@MySQL-A ~]# /etc/init.d/syslog restart                            #重启syslog日志。
Shutting down kernel logger: [  OK  ]
Shutting down system logger: [  OK  ]
Starting system logger: [  OK  ]
Starting kernel logger: [  OK  ]


3.测试,在客户端主机上10.0.2.165主机上测试并操作:                     

代码如下:

[root@MySQL-A ~]# test
[root@MySQL-A ~]# echo "this is a test 1"
this is a test 1
[root@MySQL-A ~]# echo "this is a test 2"
this is a test 2
[root@MySQL-A ~]# echo "this is a test 3"
this is a test 3
[root@MySQL-A ~]# echo "this is a test 4"
this is a test 4
[root@MySQL-A ~]# echo "this is a test 5"
this is a test 5


4.返回日志服务器10.0.2.164主机上看结果,是否记录下来客户端主机执行的操作?

代码如下:

[root@MySQL-B ~]# cat /var/log/client
Apr  6 10:37:55 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 (10.0.2.188):[/root]echo "this is a test1"
Apr  6 10:37:59 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 (10.0.2.188):[/root]echo "this is a test2"
Apr  6 10:38:01 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 (10.0.2.188):[/root]echo "this is a test3"
Apr  6 10:38:04 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 (10.0.2.188):[/root]echo "this is a test4"
Apr  6 10:38:06 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 (10.0.2.188):[/root]echo "this is a test5"


返回参数分别为:#操作时间  #操作IP  #有效用户  #实际登陆时间  #路径  #使用的命令

感谢各位的阅读,以上就是“Linux系统下如何实现用户审计”的内容了,经过本文的学习后,相信大家对Linux系统下如何实现用户审计这一问题有了更深刻的体会,具体使用情况还需要大家实践验证。这里是亿速云,小编将为大家推送更多相关知识点的文章,欢迎关注!

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI