linux中 shell 历史命令记录功能
在Linux下面可以使用history命令查看用户的所有历史操作,同时shell命令操作记录默认保存在用户目录的.bash_history文件中。通过这个文件可以查询shell命令的执行历史,有助于运维人员进行系统审计和问题排查,同时在服务器遭受黑客攻击后,也可以查询黑客登录服务器的历史命令操作。但是黑客在入侵后,为了抹除痕迹,会删除.bash_history文件,这个就需要合理备份这个文件了。
默认的history命令只能查看用户的历史操作记录,但是不能区分每个用户操作命令的时间。这点对于问题排查相当的不方便。解决办法是在/etc/bashrc文件中加入以下四行来让history命令自动记录所有shell命令的执行时间:
HISTFILESIZE=4000 HISTSIZE=4000 HISTTIMEFORMAT='%F%T' exportHISTTIMEFORMAT
HISTFILESIZE表示在.bash_history文件中保存命令的记录总数,默认值是1000;HISTSIZE定义了history命令输出的记录总数;HISTTIMEFORMAT定义了时间显示格式,该格式与date命令后的“+"%F%T"”是一样的;HISTTIMEFORMAT作为history的时间变量将值传递给history命令。
高级技巧
上面那个虽然可以记录时间,但是无法作为审计目的使用,很容易被黑客篡改或者丢失。下面这种方法详细记录了登录过系统的用户、IP地址、shell命令以及详细操作的时间。并将这些信息以文件的形式保存在一个安全的地方,以供系统审计和故障排查。
把以下代码放入/etc/profile文件中,即可实现上述功能。
#Recordhistoryoperation
USER_IP=`who-uami2>/dev/null|awk'{print$NF}'|sed-e's/[()]//g'`
LOGNAME=`who-uami|awk'{print$1}'`
HISTDIR=/user/share/.history
if[-z$USER_IP]
then
USER_IP=`hostname`
fi
if[!-d$HISTDIR] then mkdir-p$HISTDIR chmod777$HISTDIR fi
if[!-d$HISTDIR/${LOGNAME}] then mkdir-p$HISTDIR/${LOGNAME} chmod300$HISTDIR/${LOGNAME} fi
exportHISTSIZE=4000
DT=`date+"%Y%m%d_%H%M%S"` exportHISTFILE="$HISTDIR/${LOGNAME}/${USER_IP}.history.$DT" exportHISTTIMEFORMAT="[%Y.%m.%d%H:%M:%S]" chmod600$HISTDIR/${LOGNAME}/*.history*2>/dev/null