创建审计日志目录
 

复制代码代码如下:mkdir -p /var/log/user_audit

创建用户审计日志文件;
 

复制代码代码如下:touch /var/log/user_audit/user_audit.log

将文件赋予低权限用户
 

复制代码代码如下:chown nobody:nobody /var/log/user_audit/user_audit.log

赋予所有人写权限
 

复制代码代码如下:chmod 002 /var/log/user_audit/user_audit.log

赋予所有用户追加权限
 

复制代码代码如下:chattr +a /var/log/user_audit.log

编辑/etc/profile 增加以下内容;
 

复制代码代码如下:export HISTORY_FILE=/var/log/user_audit/user_audit.log
export PROMPT_COMMAND='{ date "+%y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5}")

实例
多人共同使用的服务器权限确实不好管理,误操作等造成故障,无法追究,最好的办法就是将用户操作实时记录到日志,并推送到远程日志服务器上。包括(用户登陆时间,目录,操作命令及时间戳等)。以便事后追查。
环境:centos5.5 X86_64 2台              #备注:把两台主机的防火墙和selinux关闭。在进行操作。
(一)日志服务器IP:10.0.2.164
(二)客户端服务器IP:10.0.2.165
1.先在日志服务器10.0.2.164主机上操作:

复制代码代码如下:[root@MySQL-B ~]# echo "*.info /var/log/client" /etc/syslog.conf
#配置日志保存文件,把该文件第一行的*.info 提出来。单独放一行。
[root@MySQL-B ~]# service syslog restart #重启syslog日志服务。
Shutting down kernel logger: [ OK ]
Shutting down system logger: [ OK ]
Starting system logger: [ OK ]
Starting kernel logger: [ OK ]
[root@MySQL-B ~]# vim /etc/sysconfig/syslog #接收客户端写入。
把SYSLOGD_OPTIONS="-m 0"  更改为:SYSLOGD_OPTIONS="-m 1 -r"
2.然后在客户端服务器10.0.2.165主机上操作:

复制代码代码如下:[root@MySQL-A ~]# vim /etc/profile #添加如下行。
export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'
[root@MySQL-A ~]# source /etc/profile #重新手动source更新。
2.1.客户机修改日志服务器10.0.2.165主机上操作:

复制代码代码如下:[root@MySQL-A ~]# echo "10.0.2.164 logserver" /etc/hosts #日志服务器地址。
[root@MySQL-A ~]# echo "*.info @logserver" /etc/syslog.conf
#将info日志推送到日志服务器,把该文件第一行的*.info 提出来。单独放一行。
[root@MySQL-A ~]# /etc/init.d/syslog restart #重启syslog日志。
Shutting down kernel logger: [ OK ]
Shutting down system logger: [ OK ]
Starting system logger: [ OK ]
Starting kernel logger: [ OK ]
3.测试,在客户端主机上10.0.2.165主机上测试并操作:                     

复制代码代码如下:[root@MySQL-A ~]# test
[root@MySQL-A ~]# echo "this is a test 1"
this is a test 1
[root@MySQL-A ~]# echo "this is a test 2"
this is a test 2
[root@MySQL-A ~]# echo "this is a test 3"
this is a test 3
[root@MySQL-A ~]# echo "this is a test 4"
this is a test 4
[root@MySQL-A ~]# echo "this is a test 5"
this is a test 5
4.返回日志服务器10.0.2.164主机上看结果,是否记录下来客户端主机执行的操作?

复制代码代码如下:[root@MySQL-B ~]# cat /var/log/client
Apr 6 10:37:55 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 (10.0.2.188):[/root]echo "this is a test1"
Apr 6 10:37:59 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 (10.0.2.188):[/root]echo "this is a test2"
Apr 6 10:38:01 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 (10.0.2.188):[/root]echo "this is a test3"
Apr 6 10:38:04 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 (10.0.2.188):[/root]echo "this is a test4"
Apr 6 10:38:06 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 (10.0.2.188):[/root]echo "this is a test5"
返回参数分别为:#操作时间  #操作IP  #有效用户  #实际登陆时间  #路径  #使用的命令

标签:
Linux,用户审计

免责声明:本站文章均来自网站采集或用户投稿,网站不提供任何软件下载或自行开发的软件! 如有用户或公司发现本站内容信息存在侵权行为,请邮件告知! 858582#qq.com
评论“Linux系统下的用户审计方法”
暂无“Linux系统下的用户审计方法”评论...

《魔兽世界》大逃杀!60人新游玩模式《强袭风暴》3月21日上线

暴雪近日发布了《魔兽世界》10.2.6 更新内容,新游玩模式《强袭风暴》即将于3月21 日在亚服上线,届时玩家将前往阿拉希高地展开一场 60 人大逃杀对战。

艾泽拉斯的冒险者已经征服了艾泽拉斯的大地及遥远的彼岸。他们在对抗世界上最致命的敌人时展现出过人的手腕,并且成功阻止终结宇宙等级的威胁。当他们在为即将于《魔兽世界》资料片《地心之战》中来袭的萨拉塔斯势力做战斗准备时,他们还需要在熟悉的阿拉希高地面对一个全新的敌人──那就是彼此。在《巨龙崛起》10.2.6 更新的《强袭风暴》中,玩家将会进入一个全新的海盗主题大逃杀式限时活动,其中包含极高的风险和史诗级的奖励。

《强袭风暴》不是普通的战场,作为一个独立于主游戏之外的活动,玩家可以用大逃杀的风格来体验《魔兽世界》,不分职业、不分装备(除了你在赛局中捡到的),光是技巧和战略的强弱之分就能决定出谁才是能坚持到最后的赢家。本次活动将会开放单人和双人模式,玩家在加入海盗主题的预赛大厅区域前,可以从强袭风暴角色画面新增好友。游玩游戏将可以累计名望轨迹,《巨龙崛起》和《魔兽世界:巫妖王之怒 经典版》的玩家都可以获得奖励。