登录 注册
开源 企业版 高校版 私有云 Gitee AI NEW
扫描微信二维码支付
取消
支付完成
Watch
不关注 关注所有动态 仅关注版本发行动态 关注但不提醒动态
2 Star 1 Fork 0

zhrun8899 / learning-notes

代码 Issues 0 Pull Requests 0 Wiki 统计 流水线
服务
加入 Gitee
与超过 1200万 开发者一起发现、参与优秀开源项目,私有仓库也完全免费 :)
免费加入
该仓库未声明开源许可证文件(LICENSE),使用请关注具体项目描述及其代码上游依赖。
项目仓库所选许可证以仓库主分支所使用许可证为准
克隆/下载
linux-记录各个用户的操作.md 2.71 KB
一键复制 编辑 原始数据 按行查看 历史
zhrun8899 提交于 2018-12-11 10:33 . rename some files,remove the filename beginning of zrlearn

记录各个用户的操作

vi /etc/profile.d/history.sh

# history
USER=`whoami`
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]; then
USER_IP=`hostname`
fi
if [ ! -d /var/log/history ]; then
mkdir /var/log/history
chmod 777 /var/log/history
fi
if [ ! -d /var/log/history/${LOGNAME} ]; then
mkdir /var/log/history/${USER}
chmod 300 /var/log/history/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date +"%Y%m%d_%H:%M:%S"`
export HISTFILE="/var/log/history/${USER}/${USER}@${USER_IP}_$DT"
chmod 600 /var/log/history/${LOGNAME}/*history* 2>/dev/null

zhrun: 然后 source /etc/profile,用户退出后会在 /var/log/history/username/ 下生成日志,记录用户的所有操作 注意:设置各用户操作记录后,history命令只能显示本session中的操作,不利于查找命令

设置客户端超时时间为60秒

profile设置

echo export TMOUT=600 >> /etc/profile source /etc/profile echo $TMOUT

sshd设置

cp /etc/ssh/sshd_config /etc/ssh/sshd_config_bak echo ClientAliveInterval=60 >> /etc/ssh/sshd_config service sshd restart cat /etc/ssh/sshd_config 则客户端60秒无操作会断开

audit 设置记录用户所有操作:

/etc/audit/audit.rules(RHEL7为/etc/audit/rules.d/audit.rules)

增加以下设置记录所有用户登录和操作 -a exit,always -F arch=b64 -S execve -kexec -a exit,always -F arch=b32 -S execve -kexec 2.service auditd restart 3.验证 添加后使用ausearch -k exec来列出用户操作的记录。

audit设置记录对重要文件的修改

zhrun:

对重要文件增加监控:

修改文件

centos6 :/etc/audit/audit.rules centos7:/etc/audit/rules.d/audit.rules

增加内容

-w /etc/crontab -p wa -k crontab -w /etc/hosts -p wa -k hosts -w /etc/hosts.allow -p wa -k hosts-allow -w /etc/hosts.deny -p wa -k hosts-deny -w /etc/fstab -p wa -k fstab -w /etc/passwd -p wa -k passwd -w /etc/shadow -p wa -k shadow -w /etc/group -p wa -k group -w /etc/gshadow -p wa -k gshadow -w /etc/ntp.conf -p wa -k ntp (RHEL7为-w /etc/chrony.conf-p wa -k ntp) -w /etc/sysctl.conf -p wa -k sysctl -w /etc/security/limits.conf -p wa -klimits -w /boot/grub/grub.conf -p wa -k grub (RHEL7为-w/boot/grub2/grub.cfg -p wa -k grub) -w /etc/ssh/sshd_config -p wa -k ssh -w /etc/udev/rules.d/ -p wa -k udev -w /etc/profile -p wa -k profile -w /etc/kdump.conf -p wa -k kdump -w /etc/lvm/lvm.conf -p wa -k lvm -w /etc/login.defs -p wa -k login-defs -w /etc/rsyslog.conf -p wa -k rsyslog (RHEL5为-w/etc/syslog.conf -p wa -k rsyslog) -w /etc/sysconfig/i18n -p wa -k i18n (RHEL7为-w /etc/locale.conf-p wa -k i18n) -w /etc/sysconfig/network -p wa -k network -w /etc/multipath.conf -p wa -k multipath

1
https://gitee.com/zhrun8899/learning-notes.git
git@gitee.com:zhrun8899/learning-notes.git
zhrun8899
learning-notes
learning-notes
master
点此查找更多帮助

搜索帮助

Git 命令在线学习 如何在 Gitee 导入 GitHub 仓库
Git 仓库基础操作
企业版和社区版功能对比
SSH 公钥设置
如何处理代码冲突
仓库体积过大,如何减小?
如何找回被删除的仓库数据
Gitee 产品配额说明
GitHub仓库快速导入Gitee及同步更新
什么是 Release(发行版)
将 PHP 项目自动发布到 packagist.org
评论
仓库举报
回到顶部