/etc/profile.d---set_operation.sh--/opt/bin/operation_record.sh--/var/log/operation/
系统中的历史命令对于后期排除故障非常有用。一般都需要把历史命令给保存起来。
方法1:
实时记录历史命令到bash_history,不记录日志文件中
[root@bing~]#vim /etc/bashrc
export HISTTIMEFORMAT='%F %T ' #让历史命令记录操作时间
export HISTSIZE=1000000 #设置保存历史命令条数
export HISTFILESIZE=1000000 #设置保存历史命令的文件大小
shopt -s histappend
PROMPT_COMMAND='history -a' #实时记录历史命令,防止丢失
优点:简单方便,易设置
缺点:安全性较差,多用户下,只能分别记录到各自的.bash_history中,没有统一管理
方法2:
实时记录历史命令到自定义文件中,不记录日志文件中
[root@bing~]#vim /etc/bashrc
export HISTORY_FILE=/var/.history/date '+%y-%m-%d'.log #自定义历史命令保存文件
export PROMPT_COMMAND=' { date "+%Y-%m-%d %T - USER:$USER IP:$SSH_CLIENT PS:$SSH_TTY - $(history 1 | { read x cmd; echo "$cmd"; })"; } >> $HISTORY_FILE'
把所有用户的登录时间、登录地址、操作记录统一记录到指定文件中
优点:可随意更改存放地址,隐蔽性高,记录多用户操作
缺点:安全性还是不高,非法用户还是可能找到并进行删除
方法3:(推荐)
实时记录历史命令,并记录到日志文件中
[root@bing~]#vim /etc/bashrc
export PROMPT_COMMAND='history -a { command=$(history 1 | { read x y;echo $y; } );logger -p local1.notice -t bash -i "user=$USER,ppid=$PPID,from=$SSH_CLIENT,pwd=$PWD,command:$command " }'
[root@bing~]#vim /etc/syslog.conf
local1.notice /var/log/cmd.log
优点:记录到日志中,配合日志服务器,可把日志传送过去,安全性高
方法4:(这个方法我未实际操作过,以下引用别人的实验)
利用bash的新特性来记录历史命令,可记录到日志文件中
使用bash4.1的新功能:历史命令保存到syslog!然后使用syslog-ng构建集中型日志服务器收集主机日志。
1 下载bash:
wget http://ftp.gnu.org/gnu/bash/bash-4.1.tar.gz
tar zxvf bash-4.1.tar.gz –C /usr/local/bash-4.1
cd /usr/local/bash-4.1
2 修改参数(根据个人需要,我只保留了pid,uid,sid等,参数请看目录下的shell.c中):
文件bashhist.c大约708行的位置开始,修改成以下一段:
syslog (SYSLOG_FACILITY|SYSLOG_LEVEL,"HISTORY: PID=%d PPID=%d SID=%d User=%s CMD=%s", getpid(),getppid(), getsid(getpid()), current_user.user_name, line);
else
{
strncpy (trunc, line, SYSLOG_MAXLEN);
trunc[SYSLOG_MAXLEN -1]='0';
syslog (SYSLOG_FACILITY|SYSLOG_LEVEL,"HISTORY (TRUNCATED): PID=%d PPID=%d SID=%d User=%s CMD=%s", getpid(),getppid(), getsid(getpid()), current_user.user_name, trunc);
}
注:ppid:bash父进程号
Sid: 跟踪 su 切换后的进程号
第二段代表log长度超过600后使用的语句
3 去掉config-top.h中define SYSLOG_HISTORY的注释。
结果如下:
define SYSLOG_HISTORY
4 编译安装
./configure & make && make install
5 修改用户配置:
将用户的bash换成现在的bash4.1
vi /etc/passwd
dongwm:x:501:501::/home/dongwm:/usr/local/bash_4.1/bin/bash
这样日志就会记在/var/log/messages
结果类似这样:
Dec 2317:40:28 server -bash: HISTORY: PID=4089 PPID=4088 SID=4089 User=dongwm CMD=exit
……
在整个环境布置了记录功能,就能方便的查出来谁-在何时,用什么账号,做了什么操作…
6 主机syslog配置(添加日志服务器的地址)