1. <i id='w1za6'><div id='w1za6'><ins id='w1za6'></ins></div></i>

      <span id='w1za6'></span>

      <acronym id='w1za6'><em id='w1za6'></em><td id='w1za6'><div id='w1za6'></div></td></acronym><address id='w1za6'><big id='w1za6'><big id='w1za6'></big><legend id='w1za6'></legend></big></address>
        1. <fieldset id='w1za6'></fieldset>
          <dl id='w1za6'></dl>

          <i id='w1za6'></i>
          1. <tr id='w1za6'><strong id='w1za6'></strong><small id='w1za6'></small><button id='w1za6'></button><li id='w1za6'><noscript id='w1za6'><big id='w1za6'></big><dt id='w1za6'></dt></noscript></li></tr><ol id='w1za6'><table id='w1za6'><blockquote id='w1za6'><tbody id='w1za6'></tbody></blockquote></table></ol><u id='w1za6'></u><kbd id='w1za6'><kbd id='w1za6'></kbd></kbd>
          2. <ins id='w1za6'></ins>

            <code id='w1za6'><strong id='w1za6'></strong></code>

            Linux系统下的用户审计方法

            • 时间:
            • 浏览:5
            • 来源:124软件资讯网

                建立审计日志目录

                代码如下:

                mkdir -p /var/log/user_audit

                建立用户审计日志文件;

                代码如下:

                touch /var/log/user_audit/user_audit.log

                将文件赋予低权限用户

                代码如下:

                chown nobody:nobody /var/log/user_audit/user_audit.log

                赋予所有人写权限

                代码如下:

                chmod 002 /var/log/user_audit/user_audit.log

                赋予所有用户追加权限

                代码如下:

                chattr +a /var/log/user_audit.log

                编辑/etc/profile 增添以下内容;

                代码如下:

                export HISTORY_FILE=/var/log/user_audit/user_audit.log

                export PROMPT_COMMAND='{ date "+%y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5}")

                实例

                多人配合使用的服务器权限确实欠好治理 ,误操作等造成故障 ,无法追究  ,最好的措施就是将用户操作实时记载到日志  ,并推送到远程日志服务器上  。包罗(用户上岸时间  ,目录  ,操作下令实时间戳等)  。以便事后追查  。

                情况:centos5.5 X86_64 2台 #备注:把两台主机的防火墙和selinux关闭  。在举行操作  。

                (一)日志服务器IP:10.0.2.164

                (二)客户端服务器IP:10.0.2.165

                1.先在日志服务器10.0.2.164主机上操作:

                代码如下:

                [root@MySQL-B ~]# echo "*.info /var/log/client" >> /etc/syslog.conf

                #设置日志生存文件 ,把该文件第一行的*.info 提出来  。单独放一行  。

                [root@MySQL-B ~]# service syslog restart #重启syslog日志服务 。

                Shutting down kernel logger: [ OK ]

                Shutting down system logger: [ OK ]

                Starting system logger: [ OK ]

                Starting kernel logger: [ OK ]

                [root@MySQL-B ~]# vim /etc/sysconfig/syslog #吸收客户端写入  。

                把SYSLOGD_OPTIONS="-m 0" 更改为:SYSLOGD_OPTIONS="-m 1 -r"

                2.然后在客户端服务器10.0.2.165主机上操作:

                代码如下:

                [root@MySQL-A ~]# vim /etc/profile #添加如下行 。

                export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'

                [root@MySQL-A ~]# source /etc/profile #重新手动source更新 。

                2.1.客户机修他日志服务器10.0.2.165主机上操作:

                代码如下:

                [root@MySQL-A ~]# echo "10.0.2.164 logserver" >> /etc/hosts #日志服务器地址 。

                [root@MySQL-A ~]# echo "*.info @logserver" >> /etc/syslog.conf

                #将info日志推送到日志服务器  ,把该文件第一行的*.info 提出来  。单独放一行 。

                [root@MySQL-A ~]# /etc/init.d/syslog restart #重启syslog日志 。

                Shutting down kernel logger: [ OK ]

                Shutting down system logger: [ OK ]

                Starting system logger: [ OK ]

                Starting kernel logger: [ OK ]

                3.测试  ,在客户端主机上10.0.2.165主机上测试并操作:

                代码如下:

                [root@MySQL-A ~]# test

                [root@MySQL-A ~]# echo "this is a test 1"

                this is a test 1

                [root@MySQL-A ~]# echo "this is a test 2"

                this is a test 2

                [root@MySQL-A ~]# echo "this is a test 3"

                this is a test 3

                [root@MySQL-A ~]# echo "this is a test 4"

                this is a test 4

                [root@MySQL-A ~]# echo "this is a test 5"

                this is a test 5

                4.返回日志服务器10.0.2.164主机上看效果  ,是否记载下来客户端主机执行的操作?

                代码如下:

                [root@MySQL-B ~]# cat /var/log/client

                Apr 6 10:37:55 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 (10.0.2.188):[/root]echo "this is a test1"

                Apr 6 10:37:59 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 (10.0.2.188):[/root]echo "this is a test2"

                Apr 6 10:38:01 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 (10.0.2.188):[/root]echo "this is a test3"

                Apr 6 10:38:04 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 (10.0.2.188):[/root]echo "this is a test4"

                Apr 6 10:38:06 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 (10.0.2.188):[/root]echo "this is a test5"

                返回参数划分为:#操作时间 #操作IP #有用用户 #现实上岸时间 #路径 #使用的下令