今天一台線上的伺服器不知道被哪個活寶執行了chmod -R 700 /home,造成了文件許可權不對,密鑰認證就讀不到密鑰了,所有人賬戶都登陸不上伺服器了.排查了一下原因,排除了安全問題.那剩下的就是同事的誤操作了.但是!!!! chmod -R 執行這個可是很讓人懷疑的!!!於是報著試一試的心態去last ,然後history.其實這時候通過查看歷史記錄查是沒有什麼意義了.笨蛋執行了命令之後還留著,肯定history -c 了、果然,全部查完了,依然不知道沒有查出來是誰,有幾個人歷史命令就幾條,這種也沒法問,問也白問.
算了,這次反正沒有丟什麼重要的數據,伺服器也沒什麼事情.饒恕了這個大神吧.但是,萬一下次又有人誤操作了怎麼辦,有一天因為某人誤操作了刪除了重要的數據怎麼辦..
現在從兩個方面入手,第一伺服器安裝第三方記錄工具,可以記錄登陸的每個用戶操作的日誌,第二結合行政手段,最好有相關的規章制度,如果你是運維部的老大,可以定下.有獎有法.起到一個警示的作用.
查閱了下相關資料,還是下面這個方法好:
標題: 在/etc/profile中寫一個shell腳本來記錄登陸后的IP地址和某用戶名所操作的歷史記錄!!!
PS1="`whoami`@`hostname`:"'[$PWD]' (Linux系統提示符是用系統變數PS1來定義的)
history
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` (who -u am i 會顯示系統中登陸進來的用戶及登陸從哪個IP登陸進來的,這裡後面過濾了就取值一個登陸進來的IP)
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/ruige ]
then
會在系統的/tmp新建個ruige目錄,在目錄中記錄了所有的登陸過系統的用戶和IP地址,還有歷史命令!我們還可以用這個方法來監測系統的安全性.
注意:最好再給ruige這個目錄建議你加個t位!!
chmod o t ruige 或者chmod o t ruige
補充知識點:
一:linux系統中who am i 和whoami的區別!
who am i 顯示的是實際用戶ID即用戶登陸的時候的用戶ID!!
uid和euid可能是不同的,程序在運行的時候一般看的都是euid,當然也有特出的,who am i就是一個. 舉個例子:用戶用root登陸,使用su變成tongrui,用who am i看到的是root,使用whoami命令看到的是tongrui.
[火星人 ] shell腳本自動記錄登陸后的IP地址和某用戶名所操作的歷史記錄已經有495次圍觀
