标签(空格分隔): Linux shellshell
在 Linux 下面能够使用 history
命令查看用户的全部历史操做,同时 shell 命令操做记录默认保存在用户目录的 .bash_history
文件中。经过这个文件能够查询 shell 命令的执行历史,有助于运维人员进行系统审计和问题排查,同时在服务器遭受黑客攻击后,也能够查询黑客登陆服务器的历史命令操做。可是黑客在入侵后,为了抹除痕迹,会删除 .bash_history
文件,这个就须要合理备份这个文件了。安全
默认的 history
命令只能查看用户的历史操做记录,可是不能区分每一个用户操做命令的时间。这点对于问题排查至关的不方便。解决办法是在 /etc/bashrc
文件中加入如下四行来让 history
命令自动记录全部 shell 命令的执行时间:bash
HISTFILESIZE=4000 HISTSIZE=4000 HISTTIMEFORMAT='%F %T' export HISTTIMEFORMAT
HISTFILESIZE
表示在 .bash_history
文件中保存命令的记录总数,默认值是 1000;HISTSIZE 定义了 history
命令输出的记录总数;HISTTIMEFORMAT
定义了时间显示格式,该格式与 date
命令后的 “+"%F %T"” 是同样的;HISTTIMEFORMAT
做为 history
的时间变量将值传递给 history
命令。服务器
高级技巧架构
上面那个虽然能够记录时间,可是没法做为审计目的使用,很容易被黑客篡改或者丢失。下面这种方法详细记录了登陆过系统的用户、IP 地址、shell 命令以及详细操做的时间。并将这些信息以文件的形式保存在一个安全的地方,以供系统审计和故障排查。运维
把如下代码放入 /etc/profile
文件中,便可实现上述功能。性能
#Record history operation USER_IP=`who -u am i 2>/dev/null |awk '{print $NF}' |sed -e 's/[()]//g'` LOGNAME=`who -u am i |awk '{print $1}'` HISTDIR=/user/share/.history if [ -z $USER_IP] then USER_IP=`hostname` fi if [ ! -d $HISTDIR] then mkdir -p $HISTDIR chmod 777 $HISTDIR fi if [ ! -d $HISTDIR/${LOGNAME}] then mkdir -p $HISTDIR/${LOGNAME} chmod 300 $HISTDIR/${LOGNAME} fi export HISTSIZE=4000 DT=`date +"%Y%m%d_%H%M%S"` export HISTFILE="$HISTDIR/${LOGNAME}/${USER_IP}.history.$DT" export HISTTIMEFORMAT="[%Y.%m.%d %H:%M:%S]" chmod 600 $HISTDIR/${LOGNAME}/*.history* 2>/dev/null
参考资料code