黑基网 首页 服务器 Linux 查看内容

linux 用户行为审计

2012-4-28 10:33| 投稿: Linux

摘要: 根据公司需求,整理了一个linux用户审计的脚本,现和大家分享! 具体步骤如下: 一:配置调试 1.创建用户审计文件存放目录和审计日志文件 ; mkdir -p /var/log/usermon...
根据公司需求,整理了一个linux用户审计的脚本,现和大家分享! 具体步骤如下: 一:配置调试 1.创建用户审计文件存放目录和审计日志文件 ; mkdir -p /var/log/usermonitor/ 2.创建用户审计日志文件;echo usermonitor >/var/log/usermonitor/usermonitor.log 3.将日志文件所有者赋予一个最低权限的用户;chown nobody:nobody /var/log/usermonitor/usermonitor.log 4.给该日志文件赋予所有人的写权限;  chmod 002 /var/log/usermonitor/usermonitor.log 5.设置文件权限,使所有用户对该文件只有追加权限 ; chattr +a /var/log/usermonitor.log 6.编辑/etc/profile文件,添加如下脚本命令; export HISTORY_FILE=/var/log/usermonitor/usermonitor.logexport PROMPT_COMMAND='{ date "+%y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5}")  #### $(history 1 | { read x cmd; echo "$cmd"; })"; } >>$HISTORY_FILE' 7.使配置生效source  /etc/profile 二:功能测试 首先使用如下命令监测用户行为审计日志文件; tail -f /var/log/usermonitor/usermonitor.log ############################################################################1.root用户登录,本地测试; 执行如下测试命令 llmore /etc/profilevi /etc/profilehistory 查看审计日志结果12-03-20 00:00:13 ##### root pts/5 (192.168.0.101)  #### ll12-03-20 00:00:36 ##### root pts/5 (192.168.0.101)  #### more /etc/profile12-03-20 00:01:42 ##### root pts/5 (192.168.0.101)  #### vi /etc/profile12-03-20 00:01:47 ##### root pts/5 (192.168.0.101)  #### history12-03-20 00:01:59 ##### root pts/5 (192.168.0.101)  #### history ############################################################################ 2.审计日志文件权限测试;测试在普通用户下,审计日志文件的权限控制功能是否实现? 测试普通用户读取审计日志文件,提示拒绝,表示普通用户无法读取审计日志文件;[[email protected] ~]$ more /var/log/usermonitor/usermonitor.log/var/log/usermonitor/usermonitor.log: Permission denied 测试普通用户对日志文件的写入权限,测试命令如下;[[email protected] ~]$ echo 1 >>/var/log/usermonitor/usermonitor.log[[email protected] ~]$ echo test >>/var/log/usermonitor/usermonitor.log[[email protected] ~]$ echo test sm >>/var/log/usermonitor/usermonitor.log[[email protected] ~]$ echo user test  >>/var/log/usermonitor/usermonitor.log 查看日志监测结果; 12-03-20 00:05:18 ##### root pts/5 (192.168.0.101)  #### useradd kjh12-03-20 00:05:32 ##### root pts/5 (192.168.0.101)  #### passwd kjh1testtest smuser test通过测试可以看出,用户审计日志文件权限控制功能生效(允许系统所有用户写入); ########################################################################### 3.普通用户登录审计测试; 使用管理软件使用普通用户登录服务器系统,查看监测日志,能否监测到用户操作命令 执行如下测试命令 vi /etc/profilellfree -ihistory 查看审计日志结果 12-03-20 00:39:27 ##### kjh pts/2 (192.168.0.101)  #### vi /etc/profile12-03-20 00:39:33 ##### kjh pts/2 (192.168.0.101)  #### ll12-03-20 00:39:49 ##### kjh pts/2 (192.168.0.101)  #### free -i12-03-20 00:39:55 ##### kjh pts/2 (192.168.0.101)  #### history 通过查看监测日志文件可以发现,普通用户登录后,所做的相关操作可以正常监控。
小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部