Unix系统记录用户登录及操作日志配置——Linux篇 C Shell
2020-6-1 16:35:9 Author: mp.weixin.qq.com(查看原文) 阅读量:2 收藏

C Shell

以下几点:

  1. C Shell的语法(每个shell都有不同),比如设置只读变量用了set -r;

  2. bash下我们用了PROMPT_COMMAND变量,ksh下我们用了trap,C shell下不支持PROMPT_COMMAND变量,我们使用了c shell下的内置变量precmd。C shell下对于trap是否支持,没有进行测试。

  3. 使用了别名alias。

最终配置如下:

修改/etc/csh.cshrc文件。

vi /etc/csh.cshrc

在文件最后加入以下内容,将其中的192.168.100.90替换为资源的IP。
# Add content in /etc/csh.cshrc# Log C Shell user login and commandhistoryset up_client_ip=`(who am i|cut -d\(-f2|cut -d\) -f1)`set up_flag=`echo $up_client_ip|awk '($1~/[0-9]+.[0-9]+.[0-9]+.[0-9]+/)'`if ( $up_flag == "" ) thenset -r up_client_ip=`grep"$up_client_ip" /etc/hosts|cut -f1`elseset -r up_client_ip=`(who am i|cut -d\(-f2|cut -d\) -f1)`endifset -r up_nowtime=`(date -d now+"%Y-%m-%d %T")`if ( `who -m|awk '{print($1)}'` =="`whoami`" && ( "$0" == "csh" ||"$0" == "tcsh" ) ) then               echo >/dev/null;      else               logger -p user.notice --class=\"HOST_LOGIN\" type=\"2\"time=\"$up_nowtime\" src_ip=\"$up_client_ip\"dst_ip=\"192.168.100.90\" primary_user=\"\"secondary_user=\"`(whoami)`\" operation=\"\"content=\"login successful\" authen_status=\"Success\"log_level=\"1\" session_id=\" $$\" >/dev/nullendifalias precmd 'logger -p user.notice --class=\"HOST_COMMAND\" type=\"3\" time=\"`(date -d now+"%Y-%m-%d %T")`\" src_ip=\"$up_client_ip\"dst_ip=\"192.168.100.90\" primary_user=\"\"secondary_user=\"`(whoami)`\" operation=\"`history 1 | cut-f3-`\" content=\"command\" authen_status=\"\"log_level=\"1\" session_id=\"$$\" >/dev/null'

以上在记录登录日志的时候作了判断,保证了当用户使用tcshcsh命令切换shell的时候不会记录登录日志。

其中操作日志的记录配置如下:
alias precmd 'logger -p user.notice --class=\"HOST_COMMAND\" type=\"3\" time=\"`(date -d now+"%Y-%m-%d %T")`\" src_ip=\"$up_client_ip\"dst_ip=\"192.168.100.90\" primary_user=\"\"secondary_user=\"`(whoami)`\" operation=\"`history 1 | cut-f3-`\" content=\"command\" authen_status=\"\"log_level=\"1\" session_id=\"$$\" >/dev/null'

precmd

precmd  Runs just before each prompt is printed.  For example, if one does

> alias precmd date

then  date(1)  runs just before the shell prompts for each command.  There are no limits on what precmd can be set to do, but discretion should be used.

在命令行提示符出现前会先执行precmd定义的命令,这样也就满足了我们的要求,在回车后会执行我们定义的产生日志的命令。C shell下类似的命令还有postcmd,感兴趣的可自行研究。
一个遗留问题:
precmd我们使用了别名alias,但是用户可以使用unlias来删除别名,这样操作日志将不会被记录。关于如何设置用户不能取消alias,之前咨询了一些人,有给出一些方法,但都不是完全的方法(执行一些命令就可逸出),后续也搁置了。
至此,Linux下bash(sh)、ksh、tcsh(csh)环境下的登录日志、操作日志的配置方法已全部写完。后续发布:
  • Linux系统下各个shell的启动文件;
  • Linux下操作日志实现方法(PROMPT_COMMAND、trap、trap函数、precmd)的测试结果;
  • Linux下登录日志、操作日志在登录、执行shell命令、su切换、su -切换场景下的测试结果;

文章来源: https://mp.weixin.qq.com/s?__biz=MzI5NzAzMDg0NA==&mid=2650697980&idx=1&sn=59d38db6020badbf35ece3269f90ac81&chksm=f4b1952fc3c61c39ba99de076e5fa43c8a08d549bc46c4a7b97c15ad98951fcf7ac630b63144&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh