加入收藏 | 设为首页 | 会员中心 | 我要投稿 PHP编程网 - 黄冈站长网 (http://www.0713zz.com/)- 数据应用、建站、人体识别、智能机器人、语音技术!
当前位置: 首页 > 服务器 > 搭建环境 > Linux > 正文

Linux安全运维之怎么活用history命令

发布时间:2022-07-15 16:10:50 所属栏目:Linux 来源:互联网
导读:悬镜Linux运维 Linux系统下可通过history命令查看用户所有的历史操作记录,在安全应急响应中起着非常重要的作用,但在未进行附加配置情况下,history命令只能查看用户历史操作记录,并不能区分用户以及操作时间,不便于审计分析。 当然,一些不好的操作习惯
  悬镜Linux运维
 
  Linux系统下可通过history命令查看用户所有的历史操作记录,在安全应急响应中起着非常重要的作用,但在未进行附加配置情况下,history命令只能查看用户历史操作记录,并不能区分用户以及操作时间,不便于审计分析。
 
  当然,一些不好的操作习惯也可能通过命令历史泄露敏感信息。
 
  下面我们来介绍如何让history日志记录更细化,更便于我们审计分析。
 
  1、命令历史记录中加时间
  默认情况下如下图所示,没有命令执行时间,不利于审计分析。
 
  Linux安全运维丨谁动了我的主机?活用History命令
 
  悬镜Linux运维
 
  通过设置export HISTTIMEFORMAT='%F %T ',让历史记录中带上命令执行时间。
 
  注意”%T”和后面的”’”之间有空格,不然查看历史记录的时候,时间和命令之间没有分割。
 
  要一劳永逸,这个配置可以写在/etc/profile中,当然如果要对指定用户做配置,这个配置可以写在/home/$USER/.bash_profile中。
 
  本文将以/etc/profile为例进行演示。
 
  Linux安全运维丨谁动了我的主机?活用History命令
 
  悬镜Linux运维
 
  要使配置立即生效请执行source /etc/profile,我们再查看history记录,可以看到记录中带上了命令执行时间。
 
  Linux安全运维丨谁动了我的主机?活用History命令
 
  悬镜Linux运维
 
  如果想要实现更细化的记录,比如登陆过系统的用户、IP地址、操作命令以及操作时间一一对应,可以通过在/etc/profile里面加入以下代码实现
 
  export HISTTIMEFORMAT="%F %Twho -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'
 
  whoami",注意空格都是必须的。
 
  Linux安全运维丨谁动了我的主机?活用History命令
 
  悬镜Linux运维
 
  修改/etc/profile并加载后,history记录如下,时间、IP、用户及执行的命令都一一对应。
 
  Linux安全运维丨谁动了我的主机?活用History命令
 
  悬镜Linux运维
 
  通过以上配置,我们基本上可以满足日常的审计工作了,但了解系统的朋友应该很容易看出来,这种方法只是设置了环境变量,攻击者unset掉这个环境变量,或者直接删除命令历史,对于安全应急来说,这无疑是一个灾难。
 
  针对这样的问题,我们应该如何应对,下面才是我们今天的重点,通过修改bash源码,让history记录通过syslog发送到远程logserver中,大大增加了攻击者对history记录完整性破坏的难度。
 
  2、修改bash源码,支持syslog记录
  首先下载bash源码,可以从gnu.org下载,这里不做详细说明了,系统需要安装gcc等编译环境。我们用bash4.4版本做演示。
 
  修改源码:bashhist.c
 
  Linux安全运维丨谁动了我的主机?活用History命令
 
  悬镜Linux运维
 
  修改源码config-top.h,取消/#define SYSLOG_HISTORY/这行的注释
 
  Linux安全运维丨谁动了我的主机?活用History命令
 
  悬镜Linux运维
 
  编译安装,编译过程不做详细说明,本文中使用的编译参数为: ./configure --prefix=/usr/local/bash,安装成功后对应目录如下:
 
  Linux安全运维丨谁动了我的主机?活用History命令
 
  悬镜Linux运维
 
  此时可以修改/etc/passwd中用户shell环境,也可以用编译好的文件直接替换原有的bash二进制文件,但最好对原文件做好备份。
 
  替换时要注意两点:
 
  1、一定要给可执行权限,默认是有的,不过有时候下载到windows系统后,再上传就没有可执行权限了,这里一定要确定,不然你会后悔的;
 
  2、替换时原bash被占用,可以修改原用户的bash环境后再进行替换。
 
  查看效果,我们发现history记录已经写到了/var/log/message中。
 
  Linux安全运维丨谁动了我的主机?活用History命令
 
  悬镜Linux运维
 
  如果要写到远程logserver,需要配置syslog服务,具体配置这里不做详细讲解,大家自己研究,发送到远端logserver效果如下图所示。
 
  Linux安全运维丨谁动了我的主机?活用History命令
 
  悬镜Linux运维
 
  经过以上操作,能够有效保证history记载的完好性,防止攻击者登录系统后,经过取消环境变量、删除history记载等方式抹掉操作行为,为平安审计、应急响应等提供了完好的原始数据。

(编辑:PHP编程网 - 黄冈站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

        【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

        建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的优质浏览效果

        Copygight © 2013-2023 http://www.0713zz.com/ All Rights Reserved. PHP编程网 - 黄冈站长网

        ICP备案:浙ICP备07501134号 浙公网安备 33038102330482号