【Linux】监控用户操作行为

阅读数: 2021-12-10

在实际工作当中，都会碰到误删除、误修改配置文件等事件。如果没有堡垒机，要在linux系统上查看到底谁对配置文件做了误操作，特别是遇到删库跑路的事件，当然可以通过history来查看历史命令记录，但如果把history记录涂抹掉了，照样啥也看不到了。

linux中**script命令**可以满足我们的需求，script可以记录终端会话，只要是linux6.3以上的系统，都会自带script命令。

1、查看系统版本：

[root@www.lutixia.cn ~]# cat /etc/redhat-release
CentOS Linux release 7.7.1908 (Core)
[root@www.lutixia.cn ~]#

2、验证script命令：

1
2
3

[root@www.lutixia.cn ~]#  which script
/usr/bin/script
[root@www.lutixia.cn ~]#

3、创建目录：

创建监本目录并授权，用于存放用户执行的日志：

[root@www.lutixia.cn ~]# mkdir /var/log/script
[root@www.lutixia.cn ~]# chmod o+w  /var/log/script
[root@www.lutixia.cn ~]# chattr +a /var/log/script/
[root@www.lutixia.cn ~]# lsattr /var/log/script/ -d
-----a---------- /var/log/script/

ps:对目录设置其他人可写，否则将不能创建日志文件，但是同时设置+a属性，只能追加内容，不可以删除文件，避免用户发现记录文件，擅自删除！

chattr

如果需要删除日志，可以用 chattr -a /var/log/script/ 来使该目录可操作

4、配置profile文件：

修改profile文件，在末尾添加如下内容：

[root@www.lutixia.cn ~]# vim /etc/profile

if [ $UID -ge 1 ]; then
	logdir=/var/log/script/$USER-$UID/`date +%Y%m%d`
	if [ ! -d "$logdir" ]; then
		mkdir -p $logdir
	fi
	exec /usr/bin/script -t 2>$logdir/$(date +%H).date -a -f -q $logdir/$(date +%H).log
fi

用户登录执行的操作都会记录到/var/log/script/*.log里，可以通过less、more、vim等命令查看目录里的日志。

参数说明:

-t      :指明输出录制的时间数据；
-a      :输出录制的文件，在现有内容上追加新的内容；
-f      :在输出到日志文件的同时，也可以查看日志文件的内容；
-q      :可以使script命令以静默模式运行；

这里我稍微修改下，记录按用户、天数记录每小时的录像, 并且不记录0（root）用户操作

5、使配置生效:

1
2
3

[root@www.lutixia.cn ~]# source /etc/profile
或者：
[root@www.lutixia.cn ~]# .  /etc/profile

6、验证：

[root@www.lutixia.cn ~]# su - lutixia
[lutixia@www ~]$ cat /etc/fstab 

#
# /etc/fstab
# Created by anaconda on Wed Apr  1 20:41:42 2020
#
# Accessible filesystems, by reference, are maintained under '/dev/disk'
# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info
#
UUID=871bb9bc-ea30-4c37-9a01-29473c80b20d /                       xfs     defaults        0 0
UUID=fcae5e45-5bcb-4f6e-8587-df69bf63e189 /boot                   xfs     defaults        0 0
UUID=9d3d3839-7b20-4bf0-909a-647a9d361032 swap                    swap    defaults        0 0
[lutixia@www.lutixia.cn ~]$ exit

[root@www.lutixia.cn ~]# cd /var/log/script/
[root@www.lutixia.cn script]# ls
lutixia-1002-202108101146.date  lutixia-1002-202108101146.log

7、历史回放：

1	[root@www.lutixia.cn script]# scriptreplay lutixia-1002-202108101146.date lutixia-1002-202108101146.log

script脚本录制用户行为

这里最好加上 -d 来控制播放的速度，如（10倍速）： scriptreplay -d 10 lutixia-1002-202108101146.date lutixia-1002-202108101146.log

8、用于尝试删除：

[lutixia@www.lutixia.cn ~]$ rm -rf /var/log/script/*
rm: 无法删除"/var/log/script/lutixia-1002-202108101146.date": 不允许的操作
rm: 无法删除"/var/log/script/lutixia-1002-202108101146.log": 不允许的操作
rm: 无法删除"/var/log/script/lutixia-1002-202108101159.date": 不允许的操作
rm: 无法删除"/var/log/script/lutixia-1002-202108101159.log": 不允许的操作

转至：https://zhuanlan.zhihu.com/p/398223069

略做了些调整和说明

本文作者： ionluo
本文链接： http://www.ionluo.cn/blog/posts/43fef5ee.html
版权声明： 本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。转载请注明出处！