在linux系统上,可以通过命令history来查看历史命令,但是history命令只针对登录用户下执行有效,无法获取其他用户的history历史历史操作命令。在生产系统上,为了监测系统的安全性,当用户登录/退出会创建相应的文件,该文件保存这段用户登录时期内操作历史,方便审计。
脚本代码是利用全局环境变量的设置来实现的,当用户登录/退出会执行环境变量的脚本( 下文的all_history.sh),会创建相应的文件记录历史操作命令。关于环境变量变量的设置的更多信息,请参考笔者自己的文章—Linux环境变量的设置。
已下日志脚本代码是基于简友的文章—Linux 查看所有登录用户的操作历史命令。此文章里面是将下面的脚本内容放置于/etc/profile文件中,但是为了方便管理,笔者放置于/etc/profile.d目录下,因为目录下的所有文件会被sourced ,在 /etc/profile中有代码定义。为了方便管理,自己在HISTFILE后面加了.log ,其他代码未修改 。
loginlog日志有了,长时间的运行就会积累很多过期的日志,这就需要定时清理过期日志文件。
笔者将delete_loginlog.sh置于/etc/cron.weekly目录下,每周执行一次这个脚本。当然定时任务也有其他写法,详情参考笔者的文章-Linux crontab定时任务详细分解 。
在/var/log/cron日志文件记录了delete_loginlog.sh定时任务的执行情况。
如果为了节约磁盘空间,也可以将.log文件压缩打包,默认gzip 会删除源文件,并生成xx.gz文件。更多请请参考笔者的文章-让Linux系统保持活力的优化脚本。
find /opt/loginlog/ -name '*.log' -exec gzip -f {} \;
然后再删除过期30天的.gz文件。看需求可以将上下的两个压缩命令和删除gz文件的命令置于不同的周期来执行。
delete_time=30
find /opt/loginlog/ -mtime +$delete_time -name '*.gz' -exec rm -r {} \;
最后看一下笔者在阿里云服务器上测试。log文件的时间是用户登陆后的时间,也是 /etc/profile执行的时间,但是.log文件生成时间是用户登出的时间。
此脚本可以记录用户登陆的IP地址或者用户名的每一个操作指令,而且上下翻键也失效,不能找出以前的命令,对于生产系统的安全方面有重要的意义。
2021.5.9。history并不包含时间信息,在脚本中加入export HISTTIMEFORMAT="%F %T " ,可以在记录日志中显示每条命令的执行时间。经过测试,笔者发现时间是unix timestamp ,而不是北京时间。这个与直接敲history是不一样的,暂时不知道原因,待以后发掘吧。
网友评论