linux系统操作审计-让history内容更丰富
生活随笔
收集整理的這篇文章主要介紹了
linux系统操作审计-让history内容更丰富
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
不知道作為運維的你有沒有體會過這樣一種情況:
當某天你的服務器發生異常情況,例如某個文件莫名被刪除了,或者某個文件被人私自篡改,甚至是發生安全事件等等,這時你的經理找到你要你查個水落石出,于是你想看看history里有沒有一些異常的操作,當你在終端里敲完history命令之后,看到的結果,卻敵我難分,例如某個rm -rf的操作到底是自己人做的操作還是有人未經同意做得操作呢,此時的結果看不到詳細的信息,只能看到操作的指令,但是你很想看這些指令到底是在什么時候執行的,哪個用戶執行的,哪個終端執行的,甚至是終端的ssh遠程IP是多少等等,遇到這些情況你可能在一陣噼里啪啦之后一籌莫展,不知道從何下手。但是別擔心,今天給大家推出解決方案:
注意事項(必讀):
- 此方案會導致所有存在的歷史記錄變成當前日期的時間,如果你們決定忽略以前的歷史記錄,那么建議先敲history -c清空歷史記錄,再按照以下步驟實施就是了。
- 建議新機器第一件事就是部署該方案
1,編輯/etc/profile
在文件內容末尾添加如下內容:
1 w -uh>$HOME/.cache_tty;grep "`tty|cut -d '/' -f3,4`" $HOME/.cache_tty|awk '{print $3}'>$HOME/.cache_tty_ip 2 export HISTTIMEFORMAT="`whoami` `tty|cut -d '/' -f3,4` $(w -uh>$HOME/.cache_tty;grep "`tty|cut -d '/' -f3,4`" $HOME/.cache_tty|awk '{print $3}') %F %T "示例圖:
?
2,保存退出然后敲history命令驗證是否生效:
1 history如下圖可以看出已經生效:
?
轉載于:https://www.cnblogs.com/sonwnja/p/9280739.html
總結
以上是生活随笔為你收集整理的linux系统操作审计-让history内容更丰富的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Single-Shot Object D
- 下一篇: day3:编码,基本数据类型操作,字符串