根據公司需求,整理了一個linux用戶審計的腳本,現和大家分享!
具體步驟如下:
一:配置調試
1.創建用戶審計文件存放目錄和審計日誌文件 ;
mkdir -p /var/log/usermonitor/
2.創建用戶審計日誌文件;
echo usermonitor >/var/log/usermonitor/usermonitor.log
3.將日誌文件所有者賦予一個最低許可權的用戶;
chown nobody:nobody /var/log/usermonitor/usermonitor.log
4.給該日誌文件賦予所有人的寫許可權;
chmod 002 /var/log/usermonitor/usermonitor.log
5.設置文件許可權,使所有用戶對該文件只有追加許可權 ;
chattr a /var/log/usermonitor.log
6.編輯/etc/profile文件,添加如下腳本命令;
export HISTORY_FILE=/var/log/usermonitor/usermonitor.log
export PROMPT_COMMAND='{ date " %y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5}") #### $(history 1 | { read x cmd; echo "$cmd"; })"; } >>$HISTORY_FILE'
7.使配置生效
source /etc/profile
二:功能測試
首先使用如下命令監測用戶行為審計日誌文件;
tail -f /var/log/usermonitor/usermonitor.log
############################################################################
1.root用戶登錄,本地測試;
執行如下測試命令
ll
more /etc/profile
vi /etc/profile
history
查看審計日誌結果
12-03-20 00:00:13 ##### root pts/5 (192.168.0.101) #### ll
12-03-20 00:00:36 ##### root pts/5 (192.168.0.101) #### more /etc/profile
12-03-20 00:01:42 ##### root pts/5 (192.168.0.101) #### vi /etc/profile
12-03-20 00:01:47 ##### root pts/5 (192.168.0.101) #### history
12-03-20 00:01:59 ##### root pts/5 (192.168.0.101) #### history
############################################################################
2.審計日誌文件許可權測試;
測試在普通用戶下,審計日誌文件的許可權控制功能是否實現?
測試普通用戶讀取審計日誌文件,提示拒絕,表示普通用戶無法讀取審計日誌文件;
[kjh@kjh ~]$ more /var/log/usermonitor/usermonitor.log
/var/log/usermonitor/usermonitor.log: Permission denied
測試普通用戶對日誌文件的寫入許可權,測試命令如下;
[kjh@kjh ~]$ echo 1 >>/var/log/usermonitor/usermonitor.log
[kjh@kjh ~]$ echo test >>/var/log/usermonitor/usermonitor.log
[kjh@kjh ~]$ echo test sm >>/var/log/usermonitor/usermonitor.log
[kjh@kjh ~]$ echo user test >>/var/log/usermonitor/usermonitor.log
查看日誌監測結果;
12-03-20 00:05:18 ##### root pts/5 (192.168.0.101) #### useradd kjh
12-03-20 00:05:32 ##### root pts/5 (192.168.0.101) #### passwd kjh
1
test
test sm
user test
通過測試可以看出,用戶審計日誌文件許可權控制功能生效(允許系統所有用戶寫入);
###########################################################################
3.普通用戶登錄審計測試;
使用管理軟體使用普通用戶登錄伺服器系統,查看監測日誌,能否監測到用戶操作命令
執行如下測試命令
vi /etc/profile
ll
free -i
history
查看審計日誌結果
12-03-20 00:39:27 ##### kjh pts/2 (192.168.0.101) #### vi /etc/profile
12-03-20 00:39:33 ##### kjh pts/2 (192.168.0.101) #### ll
12-03-20 00:39:49 ##### kjh pts/2 (192.168.0.101) #### free -i
12-03-20 00:39:55 ##### kjh pts/2 (192.168.0.101) #### history
通過查看監測日誌文件可以發現,普通用戶登錄后,所做的相關操作可以正常監控.
############################################################################
本文出自 「康建華」 博客,請務必保留此出處http://michaelkang.blog.51cto.com/1553154/821763
[火星人 ] linux 用戶行為審計已經有275次圍觀
