<i id='kwo7p'><div id='kwo7p'><ins id='kwo7p'></ins></div></i>
  1. <dl id='kwo7p'></dl>

  2. <i id='kwo7p'></i>
    <fieldset id='kwo7p'></fieldset>
      <ins id='kwo7p'></ins>
      <span id='kwo7p'></span>
    1. <tr id='kwo7p'><strong id='kwo7p'></strong><small id='kwo7p'></small><button id='kwo7p'></button><li id='kwo7p'><noscript id='kwo7p'><big id='kwo7p'></big><dt id='kwo7p'></dt></noscript></li></tr><ol id='kwo7p'><table id='kwo7p'><blockquote id='kwo7p'><tbody id='kwo7p'></tbody></blockquote></table></ol><u id='kwo7p'></u><kbd id='kwo7p'><kbd id='kwo7p'></kbd></kbd>

        <code id='kwo7p'><strong id='kwo7p'></strong></code>
        1. <acronym id='kwo7p'><em id='kwo7p'></em><td id='kwo7p'><div id='kwo7p'></div></td></acronym><address id='kwo7p'><big id='kwo7p'><big id='kwo7p'></big><legend id='kwo7p'></legend></big></address>

          Linux系统下的用户审计方法

          • 时间:
          • 浏览:12
          • 来源:124软件资讯网

              建立审计日志目录

              代码如下:

              mkdir -p /var/log/user_audit

              建立用户审计日志文件;

              代码如下:

              touch /var/log/user_audit/user_audit.log

              将文件赋予低权限用户

              代码如下:

              chown nobody:nobody /var/log/user_audit/user_audit.log

              赋予所有人写权限

              代码如下:

              chmod 002 /var/log/user_audit/user_audit.log

              赋予所有用户追加权限

              代码如下:

              chattr +a /var/log/user_audit.log

              编辑/etc/profile 增添以下内容;

              代码如下:

              export HISTORY_FILE=/var/log/user_audit/user_audit.log

              export PROMPT_COMMAND='{ date "+%y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5}")

              实例

              多人配合使用的服务器权限确实欠好治理 ,误操作等造成故障  ,无法追究  ,最好的措施就是将用户操作实时记载到日志  ,并推送到远程日志服务器上  。包罗(用户上岸时间 ,目录  ,操作下令实时间戳等)  。以便事后追查  。

              情况:centos5.5 X86_64 2台 #备注:把两台主机的防火墙和selinux关闭 。在举行操作 。

              (一)日志服务器IP:10.0.2.164

              (二)客户端服务器IP:10.0.2.165

              1.先在日志服务器10.0.2.164主机上操作:

              代码如下:

              [root@MySQL-B ~]# echo "*.info /var/log/client" >> /etc/syslog.conf

              #设置日志生存文件  ,把该文件第一行的*.info 提出来  。单独放一行 。

              [root@MySQL-B ~]# service syslog restart #重启syslog日志服务  。

              Shutting down kernel logger: [ OK ]

              Shutting down system logger: [ OK ]

              Starting system logger: [ OK ]

              Starting kernel logger: [ OK ]

              [root@MySQL-B ~]# vim /etc/sysconfig/syslog #吸收客户端写入 。

              把SYSLOGD_OPTIONS="-m 0" 更改为:SYSLOGD_OPTIONS="-m 1 -r"

              2.然后在客户端服务器10.0.2.165主机上操作:

              代码如下:

              [root@MySQL-A ~]# vim /etc/profile #添加如下行 。

              export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'

              [root@MySQL-A ~]# source /etc/profile #重新手动source更新 。

              2.1.客户机修他日志服务器10.0.2.165主机上操作:

              代码如下:

              [root@MySQL-A ~]# echo "10.0.2.164 logserver" >> /etc/hosts #日志服务器地址  。

              [root@MySQL-A ~]# echo "*.info @logserver" >> /etc/syslog.conf

              #将info日志推送到日志服务器 ,把该文件第一行的*.info 提出来  。单独放一行  。

              [root@MySQL-A ~]# /etc/init.d/syslog restart #重启syslog日志  。

              Shutting down kernel logger: [ OK ]

              Shutting down system logger: [ OK ]

              Starting system logger: [ OK ]

              Starting kernel logger: [ OK ]

              3.测试 ,在客户端主机上10.0.2.165主机上测试并操作:

              代码如下:

              [root@MySQL-A ~]# test

              [root@MySQL-A ~]# echo "this is a test 1"

              this is a test 1

              [root@MySQL-A ~]# echo "this is a test 2"

              this is a test 2

              [root@MySQL-A ~]# echo "this is a test 3"

              this is a test 3

              [root@MySQL-A ~]# echo "this is a test 4"

              this is a test 4

              [root@MySQL-A ~]# echo "this is a test 5"

              this is a test 5

              4.返回日志服务器10.0.2.164主机上看效果  ,是否记载下来客户端主机执行的操作?

              代码如下:

              [root@MySQL-B ~]# cat /var/log/client

              Apr 6 10:37:55 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 (10.0.2.188):[/root]echo "this is a test1"

              Apr 6 10:37:59 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 (10.0.2.188):[/root]echo "this is a test2"

              Apr 6 10:38:01 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 (10.0.2.188):[/root]echo "this is a test3"

              Apr 6 10:38:04 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 (10.0.2.188):[/root]echo "this is a test4"

              Apr 6 10:38:06 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 (10.0.2.188):[/root]echo "this is a test5"

              返回参数划分为:#操作时间 #操作IP #有用用户 #现实上岸时间 #路径 #使用的下令