BASH增加日志功能
如果工作中遇到了比较囧的情况,机器被人攻破了,黑客登录了你的系统(当然我们会尽全力防止这样的事情发生)你一定会希望系统记录下来哪个用户做过哪些操作。History功能并不能满足这个要求,因为黑客的智商应该会告诉他在离开的时候删除history记录(除非你遇到个菜鸟黑客)。
那么我们怎么预防呢?这里的方法是给bash来个记录日志,谁在什么时间操作了什么命令,都写到messages里面去。
下面是具体步骤:
1. 下载并打补丁
#wget http://ftp.gnu.org/gnu/bash/bash-4.1.tar.gz
#tar zxf bash-4.1.tar.gz ; cd bash-4.1
#wget -r -nd -np http://ftp.gnu.org/gnu/bash/bash-4.1-patches/
#patch -p0 < bash41-001 全部文件都要patch一遍
2. 修改源码
这里这么做的原因是因为bash4.1默认在代码里面注释了log功能,并且原来记录的内容并不能满足要求,所以需要修改。
#vi bashhist.c +708 708行左右修改成下面内容
syslog (SYSLOG_FACILITY|SYSLOG_LEVEL, "HISTORY: PID=%d PPID=%d SID=%d User=%s CMD=%s", getpid(), getppid(), getsid(getpid()), current_user.user_name, line);
else
{
strncpy (trunc, line, SYSLOG_MAXLEN);
trunc[SYSLOG_MAXLEN - 1] = '\0';
syslog (SYSLOG_FACILITY|SYSLOG_LEVEL, "HISTORY (TRUNCATED): PID=%d PPID=%d SID=%d User=%s CMD=%s", getpid(), getppid(), getsid(getpid()), current_user.user_name, trunc);
}
#vi config-top.h 取消/*#define SYSLOG_HISTORY*/这行的注释
3. 编译安装
#./configure --prefix=/usr/local/bash && make && make install
4. 测试
#vi /etc/passwd 修改一个用户的登录shell到/usr/local/bash/bin/bash
tom:x:501:501::/home/users/tom:/usr/local/bash/bin/bash
用tom用户登录并进行一些操作,之后查看messages文件,可以看到类似下面的记录:
Jan 14 13:35:15 rhel6 -bash: HISTORY: PID=15912 PPID=2161 SID=15912 User=tom CMD=cat yum.conf
5. 把日志记录的日志服务器
#vi /etc/syslog.conf 添加一行*.* @logservername
日志服务器的做法只需要在/etc/sysconfig/syslog文件中修改SYSLOGD_OPTIONS="-m -r 0"即可。
PS:此方法只针对syslog程序,RHEL6.0已更换为rsyslog具体方法还没研究。
本文转自 sharkyan 51CTO博客,原文链接:http://blog.51cto.com/sharkyan/478386,如需转载请自行联系原作者
