誰動了我的主機？之活用History命令

Linux 系統(tǒng)下可通過 history 命令查看用戶所有的歷史操作記錄，在安全應急響應中起著非常重要的作用，但在未進行附加配置情況下，history 命令只能查看用戶歷史操作記錄，并不能區(qū)分用戶以及操作時間，不便于審計分析。

創(chuàng)新互聯(lián)公司是一家專業(yè)提供順城企業(yè)網(wǎng)站建設,專注與網(wǎng)站建設、成都網(wǎng)站建設、H5高端網(wǎng)站建設、小程序制作等業(yè)務。10年已為順城眾多企業(yè)、政府機構等服務。創(chuàng)新互聯(lián)專業(yè)的建站公司優(yōu)惠進行中。

當然，一些不好的操作習慣也可能通過命令歷史泄露敏感信息。

下面我們來介紹如何讓 history 日志記錄更細化，更便于我們審計分析。

1、命令歷史記錄中加時間

默認情況下如下圖所示，沒有命令執(zhí)行時間，不利于審計分析。

通過設置 export HISTTIMEFORMAT='% F % T '，讓歷史記錄中帶上命令執(zhí)行時間。

注意”% T” 和后面的”’” 之間有空格，不然查看歷史記錄的時候，時間和命令之間沒有分割。

要一勞永逸，這個配置可以寫在 /etc/profile 中，當然如果要對指定用戶做配置，這個配置可以寫在 /home/$USER/.bash_profile 中。

本文將以 /etc/profile 為例進行演示。要使配置立即生效請執(zhí)行 source /etc/profile，我們再查看 history 記錄，可以看到記錄中帶上了命令執(zhí)行時間。

如果想要實現(xiàn)更細化的記錄，比如登陸過系統(tǒng)的用戶、IP 地址、操作命令以及操作時間一一對應，可以通過在 /etc/profile 里面加入以下代碼實現(xiàn)

export HISTTIMEFORMAT="\%F \%T`who \-u am i 2>/dev/null| awk '{print $NF}'|sed \-e 's/[()]//g'``whoami`

注意空格都是必須的。

修改 /etc/profile 并加載后，history 記錄如下，時間、IP、用戶及執(zhí)行的命令都一一對應。

通過以上配置，我們基本上可以滿足日常的審計工作了，但了解系統(tǒng)的朋友應該很容易看出來，這種方法只是設置了環(huán)境變量，攻擊者 unset 掉這個環(huán)境變量，或者直接刪除命令歷史，對于安全應急來說，這無疑是一個災難。

針對這樣的問題，我們應該如何應對，通過修改 bash 源碼，讓 history 記錄通過 syslog 發(fā)送到遠程 logserver 中，大大增加了攻擊者對 history 記錄完整性破壞的難度。

history 高級用法

上面是記錄 History 的方法。我們也可以通過寫入文件，更加方便的記錄和審計命令

文章題目：誰動了我的主機？之活用History命令
分享鏈接：http://muchs.cn/article4/sdeioe.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供商城網(wǎng)站、云服務器、網(wǎng)站內鏈、品牌網(wǎng)站建設、手機網(wǎng)站建設、動態(tài)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)