Linux下記錄所有用戶的操作命令，以方便后期審計(jì)

再后面追加：

桃江網(wǎng)站制作公司哪家好，找成都創(chuàng)新互聯(lián)！從網(wǎng)頁設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、成都響應(yīng)式網(wǎng)站建設(shè)公司等網(wǎng)站項(xiàng)目制作，到程序開發(fā)，運(yùn)營維護(hù)。成都創(chuàng)新互聯(lián)從2013年成立到現(xiàn)在10年的時間，我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn)，來保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選成都創(chuàng)新互聯(lián)。

保存退出后，執(zhí)行 source /etc/profile 讓配置生效。

所有操作命令記錄存放在/var/log/cmd/{用戶}/目錄下，即使是同一個終端幾個不同的窗口，在該窗口退出或關(guān)閉時，該用戶目錄下會生產(chǎn)一個文件，多個窗口會生產(chǎn)多個文件，最后只要查看這些文件內(nèi)容，就可以看出歷史操作了。

本文轉(zhuǎn)自：

ELK linux主機(jī)操作命令審計(jì)

PROMPT_COMMAND環(huán)境變量的作用是，在每一次執(zhí)行命令之前都會執(zhí)行此環(huán)境變量。

審計(jì)的原理是：

Linux 主機(jī)審計(jì)

Linux 主機(jī)審計(jì)

Linux操作系統(tǒng)可以通過設(shè)置日志文件可以對每個用戶的每一條命令進(jìn)行紀(jì)錄，不過這一功能默認(rèn)是沒有打開的。

開啟這個功能的過程：

# touch /var/log/pacct

# action /var/log/pact

也可以用自已的文件來代替/var/log/pacct這個文件。但必須路徑和文件名的正確。

sa命令與 ac 命令一樣，sa 是一個統(tǒng)計(jì)命令。該命令可以獲得每個用戶或每個命令的進(jìn)程使用的大致情況，并且提供了系統(tǒng)資源的消費(fèi)信息。在很大程度上，sa 又是一個記帳命令，對于識別特殊用戶，特別是已知特殊用戶使用的可疑命令十分有用。另外，由于信息量很大,需要處理腳本或程序篩選這些信息。

lastcomm命令, 與 sa 命令不同，lastcomm 命令提供每一個命令的輸出結(jié)果，同時打印出與執(zhí)行每個命令有關(guān)的時間印戳。就這一點(diǎn)而說，lastcomm 比 sa 更有安全性。如果系統(tǒng)被入侵，請不要相信在 lastlog、utmp、wtm中記錄的信息，但也不要忽略，因?yàn)檫@些信息可能被修改過了。另外有可能有人替換了who程序來掩人耳目。通常，在已經(jīng)識別某些可疑活動后，進(jìn)程記帳可以有效的發(fā)揮作用。使用 lastcomm 可以隔絕用戶活動或在特定時間執(zhí)行命令。

3、使用logrorate對審計(jì)文件管理

/var/log/utmp，/var/log/wtmp和/var/log/pacct文件都是動態(tài)的數(shù)據(jù)文件。wtmp和pacct文件是在文件尾部不斷地增加記錄。在繁忙的網(wǎng)絡(luò)上，這些文件會變得很大。Linux提供了一個叫l(wèi)ogrotate的程序，它允許管理員對這些文件進(jìn)行管理。

Logrotate讀取/etc/logrotate.d目錄下的文件。管理員通過該目錄下的腳本文件，控制logrotate程序的運(yùn)作。一個典型的腳本文件如下：

{

rotate 5

weekly

errors root@serve1r

mail root@server1

copytruncate

compress

size 100k

}

腳本文件的含義如下：

● rotate 5——保留該文件一份當(dāng)前的備份和5份舊的備份。

● weekly——每周處理文件一次，通常是一周的第一天。

● errors——向郵件地址發(fā)送錯誤報(bào)告。

● mail——向郵件地址發(fā)送相關(guān)的信息。

● copytruncate——允許進(jìn)程持續(xù)地記錄，備份文件創(chuàng)建后，把活動的日志文件清空。

● compress——使用gzip工具對舊的日志文件進(jìn)行壓縮。

● size 100k——當(dāng)文件超過100k 時自動處理。

Wazuh功能——審計(jì) who-data

審核who-data

新版本3.4.0。

從3.4.0版本開始，Wazuh集成了一項(xiàng)新功能，可以從監(jiān)控文件中獲取who-data。

此信息包含對監(jiān)控文件進(jìn)行更改的用戶，以及用于執(zhí)行這些更改的程序名或進(jìn)程。

一、在Linux中審計(jì)who-data

who-data監(jiān)視功能使用Linux審計(jì)子系統(tǒng)獲取關(guān)于誰在監(jiān)視目錄中進(jìn)行了更改的信息。這些更改產(chǎn)生審計(jì)事件，這些審計(jì)事件由syscheck處理并報(bào)告給經(jīng)理。

1、配置

首先，我們需要檢查審計(jì)守護(hù)進(jìn)程是否安裝在我們的系統(tǒng)中。

在基于RedHat的系統(tǒng)中，Auditd通常是默認(rèn)安裝的。如果沒有安裝，我們需要使用以下命令進(jìn)行安裝:

# yum install audit

對于基于Debian的系統(tǒng)，請使用以下命令:

# apt install auditd

下一步是配置syscheck，以便在我們的ossec.conf文件的所選文件夾中啟用whodata監(jiān)視:

添加此配置后，我們需要重新啟動Wazuh來應(yīng)用更改。

我們可以檢查是否應(yīng)用了用于監(jiān)視所選文件夾的審計(jì)規(guī)則。要檢查這一點(diǎn)，我們需要執(zhí)行以下命令

# auditctl -l | grep wazuh_fim

并檢查是否添加了規(guī)則

當(dāng)代理停止時，我們可以使用相同的命令檢查添加的規(guī)則是否已成功刪除。

2、警報(bào)字段

當(dāng)啟用whodata時，在FIM警報(bào)中接收到以下字段:

3、警報(bào)的例子

在下面的示例中，我們可以看到用戶Smith是如何向文件/etc/hosts.添加新IP的允許使用具有sudo權(quán)限的nano編輯器:

日志格式警告:

JSON格式的警告:

二、在Windows中審計(jì)who-data

1、它是如何工作的

who-data監(jiān)視功能使用Microsoft Windows審計(jì)系統(tǒng)獲取關(guān)于誰在監(jiān)視目錄中進(jìn)行了更改的信息。這些更改產(chǎn)生審計(jì)事件，這些審計(jì)事件由syscheck處理并報(bào)告給管理者。兼容大于Windows Vista的系統(tǒng)。

2、配置

要在whodata模式下啟動監(jiān)視，必須正確配置要監(jiān)視的目錄的SACL。Wazuh在啟動ossec.conf文件中標(biāo)記whodata="yes"的目錄時自動執(zhí)行此任務(wù):

系統(tǒng)審計(jì)策略也需要正確配置。對于大多數(shù)受支持的Windows系統(tǒng)，這部分也是自動完成的。如果您的系統(tǒng)優(yōu)于Windows Vista，但審計(jì)策略無法自配置，請參閱配置本地審計(jì)策略指南。

三、警報(bào)字段

啟用whodata時，將收到以下字段:

四、警報(bào)的例子

日志格式警告:

JSON格式的警告:

Linux操作審計(jì)形式有什么？怎么能夠?qū)inux操作行為實(shí)現(xiàn)有效審計(jì)？

對于Linux操作審計(jì)，當(dāng)前主要有兩種形式。

一種是，通過收取linux操作系統(tǒng)上的日志，來進(jìn)行審計(jì)。優(yōu)點(diǎn)是全面，內(nèi)容是零散，缺乏直觀性，一般需要專業(yè)的軟件來收集和呈現(xiàn)，同時由于容易被刪除，可能導(dǎo)致關(guān)鍵審計(jì)信息缺失問題，以及由于共享賬號問題，導(dǎo)致無法定位到人。

另一種是，通過碉堡堡壘機(jī)軟件來實(shí)現(xiàn)審計(jì)。優(yōu)點(diǎn)是全面直觀，可以關(guān)聯(lián)到人，確定是只能對遠(yuǎn)程運(yùn)維操作進(jìn)行審計(jì)，無法對直接登錄操作進(jìn)行審計(jì)。

Linux自帶的審計(jì)功能

Linux自帶的script命令，可以記錄終端的輸出，用來完成簡單的審計(jì)功能

這樣用戶登陸后執(zhí)行的操作都會記錄到/mnt/log/script/*.log（目錄自己根據(jù)服務(wù)器目錄定義）里，這里把用戶ID 大于1000的都記錄下操作。