安全审计 linux

当一台跳机多个人使用时，就需要记录下，什么时间谁做了什么操作去了哪里

于是：

一：配置调试

1.创建用户审计文件存放目录和审计日志文件 ；

mkdir -p /var/log/usermonitor/

2.创建用户审计日志文件；

echo usermonitor >/var/log/usermonitor/usermonitor.log

3.将日志文件所有者赋予一个最低权限的用户；

chown nobody:nobody /var/log/usermonitor/usermonitor.log

4.给该日志文件赋予所有人的写权限；

chmod 002 /var/log/usermonitor/usermonitor.log

5.设置文件权限,使所有用户对该文件只有追加权限 ；

chattr +a /var/log/usermonitor/usermonitor.log

6.编辑/etc/profile文件，添加如下脚本命令；

export HISTORY_FILE=/var/log/usermonitor/usermonitor.log

export PROMPT_COMMAND='{ date "+%y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5}") ####$(history 1 | { read x cmd; echo "$cmd"; })"; } >>$HISTORY_FILE'

7.使配置生效

source /etc/profile

二：功能测试

首先使用如下命令监测用户行为审计日志文件；

tail -f /var/log/usermonitor/usermonitor.log #查看日志

接下来是测试阶断：

useradd xiaoa

passwd xiaoa

添加个用户，然后用此用户登录此机器，并su成root，并做一此命令操作

实验结果:

13-11-01 13:29:29 ##### xiaoa pts/2 (172.17.7.16) ####

13-11-01 13:29:37 ##### xiaoa pts/2 (172.17.7.16) #### s

13-11-01 13:29:46 ##### xiaoa pts/2 (172.17.7.16) #### init 0

13-11-01 13:29:48 ##### xiaoa pts/2 (172.17.7.16) #### whoami

13-11-01 13:29:56 ##### xiaoa pts/3 (172.17.7.16) ####

13-11-01 13:30:06 ##### xiaoa pts/3 (172.17.7.16) #### date

13-11-01 13:30:06 ##### xiaoa pts/3 (172.17.7.16) #### sadf

就都记录下来了，就算是切换成root，也能识别到最初登录的用户。