Linux体系下可经由过程history敕令查看竽暌姑户所有的汗青操作记录,在安然应急响应中起着异常重要的感化,但在未进行附加设备情况下,history敕令只能查看竽暌姑户汗青操作记录,并不克不及区分用户以及操作时光,不便于审计分析。
当然,一些不好的操作习惯也可能经由过程敕令汗青泄漏敏感信息。
下面我们来介绍若何让history日记记录更细化,更便于我们审计分析。
1、敕令汗青记录中加时光
默认情况下如下图所示,没有敕令履行时光,晦气于审计分析。
经由过程设置export HISTTIMEFORMAT=’%F %T ‘,让汗青记录中带上敕令履行时光。
留意”%T”和后面的”’”之间有空格,不然查看汗青记录的时刻,时光和敕令之间没有瓜分。
要一劳永逸,这个设备可以写在/etc/profile中,当然如不雅要对指定用户做设备,这个设备可以写在/home/$USER/.bash_profile中。
本文将以/etc/profile为例进行演示。
要使设备急速生效请履行source /etc/profile,我们再查看history记录,可以看到记录中带上了敕令履行时光。
如不雅想要实现更细化的记录,比瘸老岸过体系的用户、IP地址、操作敕令以及操作时光一一对应,可以经由过程在/etc/profile琅绫擎参加以下代码实现
export HISTTIMEFORMAT=”%F %Twho -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'whoami ”,留意空格都是必须的。
修改/etc/profile并加载后,history记录如下,时光、IP、用户及履行的敕令都一一对应。
经由过程以上设备,我们根本上可以知足日常的审计工作了,但懂得体系的同伙应当很轻易看出来,这种办法只是设置了情况变量,进击者unset掉履┞封个情况变量,或者直接删除敕令汗青,对于安然应急来说,这无疑是一个灾害。
2、修改bash源码,支撑syslog记录
起首下载bash源码,可以大年夜gnu.org下载,这里不做具体说清楚明了,体系须要安装gcc等编译情况。我们用bash4.4版本做演示。
修改源码:bashhist.c
修改源码config-top.h,撤消/#define SYSLOG_HISTORY/这行的注释
编译安装,编译过程不做具体解释,本文中应用的编译参数为: ./configure –prefix=/usr/local/bash,安装成功后对应目次如下:
此时可以修改/etc/passwd顶用户shell情况,也可以用编译好的文件直接调换原有的bash二进制文件,但最好对原文件做好备份。
针对如许的问题,我们应当若何应对,下面才是我们今天的重点,经由过程修改bash源码,让history记录经由过程syslog发送到长途logserver中,大年夜大年夜增长了进击者对history记录完全性破坏的难度。
调换时要留意两点:
- 必定要给可履行权限,默认是有的,不过有时刻下载到windows体系后,再上传就没有可履行权限了,这里必定要肯定,不然你会懊悔的;
- 调换时原bash被占用,可以修改原用户的bash情况后再进行调换。
查看效不雅,我们发明history记录已经写到了/var/log/message中。
推荐阅读
互联网时代的利好之一就是可以或许在收集上获得大年夜量信息,我们可以经由过程搜刮引擎寻找须要的材料,而类>>>详细阅读
本文标题:谁动了我的主机? 之活用History命令|Linux安全运维
地址:http://www.17bianji.com/lsqh/35554.html
1/2 1
网友点评
精彩导读
科技快报
品牌展示