Linux系统下的用户审计方法

创建审计日志目录

代码如下:

mkdir -p /var/log/user_audit

创建用户审计日志文件;

代码如下:

touch /var/log/user_audit/user_audit.log

将文件赋予低权限用户

代码如下:

chown nobody:nobody /var/log/user_audit/user_audit.log

赋予所有人写权限

代码如下:

chmod 002 /var/log/user_audit/user_audit.log

赋予所有用户追加权限

代码如下:

chattr +a /var/log/user_audit.log

编辑/etc/profile 增加以下内容;

代码如下:

export HISTORY_FILE=/var/log/user_audit/user_audit.log

export PROMPT_COMMAND="{ date "+%y-%m-%d %T ##### $【who am i |awk "{print /$1/" /"/$2/" /"/$5}"】

实例

多人共同使用的服务器权限确实不好管理,误操作等造成故障,无法追究,最好的办法就是将用户操作实时记录到日志,并推送到远程日志服务器上。包括【用户登陆时间,目录,操作命令及时间戳等】。以便事后追查。

环境:centos5.5 X86_64 2台 #备注:把两台主机的防火墙和selinux关闭。在进行操作。

【一】日志服务器IP:10.0.2.164

【二】客户端服务器IP:10.0.2.165

1.先在日志服务器10.0.2.164主机上操作:

代码如下:

[root@MySQL-B ~]# echo "*.info /var/log/client" >> /etc/syslog.conf

#配置日志保存文件,把该文件第一行的*.info 提出来。单独放一行。

[root@MySQL-B ~]# service syslog restart #重启syslog日志服务。

Shutting down kernel logger: [ OK ]

Shutting down system logger: [ OK ]

Starting system logger: [ OK ]

Starting kernel logger: [ OK ]

[root@MySQL-B ~]# vim /etc/sysconfig/syslog #接收客户端写入。

把SYSLOGD_OPTIONS="-m 0" 更改为:SYSLOGD_OPTIONS="-m 1 -r"

2.然后在客户端服务器10.0.2.165主机上操作:

代码如下:

[root@MySQL-A ~]# vim /etc/profile #添加如下行。

export PROMPT_COMMAND="{ msg=$【history 1 | { read x y; echo $y; }】;logger "[euid=$【whoami】]":$【who am i】:[`pwd`]"$msg"; }"

[root@MySQL-A ~]# source /etc/profile #重新手动source更新。

2.1.客户机修改日志服务器10.0.2.165主机上操作:

代码如下:

[root@MySQL-A ~]# echo "10.0.2.164 logserver" >> /etc/hosts #日志服务器地址。

[root@MySQL-A ~]# echo "*.info @logserver" >> /etc/syslog.conf

#将info日志推送到日志服务器,把该文件第一行的*.info 提出来。单独放一行。

[root@MySQL-A ~]# /etc/init.d/syslog restart #重启syslog日志。

Shutting down kernel logger: [ OK ]

Shutting down system logger: [ OK ]

Starting system logger: [ OK ]

Starting kernel logger: [ OK ]

3.测试,在客户端主机上10.0.2.165主机上测试并操作:

代码如下:

[root@MySQL-A ~]# test

[root@MySQL-A ~]# echo "this is a test 1"

this is a test 1

[root@MySQL-A ~]# echo "this is a test 2"

this is a test 2

[root@MySQL-A ~]# echo "this is a test 3"

this is a test 3

[root@MySQL-A ~]# echo "this is a test 4"

this is a test 4

[root@MySQL-A ~]# echo "this is a test 5"

this is a test 5

4.返回日志服务器10.0.2.164主机上看结果,是否记录下来客户端主机执行的操作?

代码如下:

[root@MySQL-B ~]# cat /var/log/client

Apr 6 10:37:55 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 【10.0.2.188】:[/root]echo "this is a test1"

Apr 6 10:37:59 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 【10.0.2.188】:[/root]echo "this is a test2"

Apr 6 10:38:01 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 【10.0.2.188】:[/root]echo "this is a test3"

Apr 6 10:38:04 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 【10.0.2.188】:[/root]echo "this is a test4"

Apr 6 10:38:06 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 【10.0.2.188】:[/root]echo "this is a test5"

返回参数分别为:#操作时间 #操作IP #有效用户 #实际登陆时间 #路径 #使用的命令

Linux系统下的用户审计方法