Chinaunix首页 | 论坛 | 博客

小牛在线bao.blog.chinaunix.net

首页 |  博文目录 |  关于我

北极熊和企鹅

  • 博客访问: 189589
  • 博文数量: 77
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 45
  • 用 户 组: 普通用户
  • 注册时间: 2016-08-25 10:50
文章分类

全部博文(77)

文章存档

2018年(1)

2017年(3)

2016年(4)

2015年(4)

2014年(16)

2013年(7)

2012年(20)

2011年(22)

我的朋友
最近访客
推荐博文
相关博文
Linux帐号活动审计脚本

分类: LINUX

2012-09-19 17:51:09

为了防止用户滥用root等敏感帐号,并且便于管理上追踪相应的sudo活动造成的问题。简单的根据/etc/bashrc的功能实现了帐号活动记录和存档的功能。下面列出一些实现的主要步骤:
  • 首先,设置/etc/bashrc,在文件最后添加下列语句,用以建立帐号活动记录
    1. mkdir -p $HOME/.audit &>/dev/null
    2. export AUDIT_FILE=$HOME/.audit/$(who am i|awk '{printf("%s_%s_%s_%s.aud",$1,$2,$3,$4)}'|tr '/:' '-') &>/dev/null
    3. export PROMPT_COMMAND='(ts=`date "+[%Y%m%d %H:%M:%S]"` && cmd=$(echo ">>`history 1|{ read y x; echo -e "$x";}`<<@`who am i |awk \"{print \\$5}\"`") && lst_cmd=`tail -10 $AUDIT_FILE|grep "]"|tail -1|cut -d "]" -f 2-` && [[ "$lst_cmd" != "$cmd" ]] && echo "$ts$cmd") >> "$AUDIT_FILE"'
  • 然后,创建目录/usr/local/admin/,创建如下脚本audit.sh
    1. #!/bin/bash

    3. ################################################################################
    4. # Note:
    5. # Please add below lines into /etc/bashrc first
    6. # mkdir -p $HOME/.audit &>/dev/null
    7. # export AUDIT_FILE=$HOME/.audit/$(who am i|awk '{printf("%s_%s_%s_%s.aud",$1,$2,$3,$4)}'|tr '/:' '-') &>/dev/null
    8. # export PROMPT_COMMAND='(ts=`date "+[%Y%m%d %H:%M:%S]"` && cmd=$(echo ">>`history 1|{ read y x; echo -e "$x";}`<<@`who am i |awk \"{print \\$5}\"`") && lst_cmd=`tail -10 $AUDIT_FILE|grep "]"|tail -1|cut -d "]" -f 2-` && [[ "$lst_cmd" != "$cmd" ]] && echo "$ts$cmd") >> "$AUDIT_FILE"'
    9. ################################################################################

    11. ################################################################################
    12. #  Function Name:    HELP_USAGE
    13. #  Description:        Function to display the usage of the script
    14. #  Parameters:         None
    15. #  Return:            Help messages
    16. #  Called By:        Script Main Loop->Script Parameters' Handler
    17. #  History:            2012-SEP-17    Initial Edition                        DAMCOOL
    18. ################################################################################
    19. function help_usage(){
    20. cat <
    21. Usage: $PROGNAME [OPTION]
    22. Audit files maintenance functions according to /etc/bashrc settings

    24.   -a, --archive    Archive the audit logging files older than 7 days and compress
    25.                   the archive file of last month as well as delete the archive
    26.                   over a year 365 days.
    27.   -h, --help   Show current help message of the script usages

    29. Notes:

    31. Please Report Script Bugs to $AUTHOR_MAIL


    34. EOF
    35. exit 1
    36. }

    38. ################################################################################
    39. #  Function Name:    ARCHIVE_LOGGING
    40. #  Description:        Function to archive the audit logging files
    41. #  Parameters:         None
    42. #  Return:            None
    43. #  Called By:        Script Main Loop->Script Parameters' Handler
    44. #  History:            2012-SEP-17    Initial Edition                        DAMCOOL
    45. ################################################################################
    46. function archive_logging(){
    47.     local pwd_line
    48.     local user_id
    49.     local home_dir
    50.     local tar_files
    51.     local tar_file
    52.     for pwd_line in $(cat /etc/passwd); do
    53.         user_id=$(echo $pwd_line|awk -F ":" '{print $1}')
    54.         home_dir=$(echo $pwd_line|awk -F ":" '{print $6}')
    55.         if [ -d "$home_dir/.audit" ]; then
    56.             cd $home_dir/.audit
    57.             for tar_files in $(find -type f -name "*aud" -mtime +7 -exec basename {} \;); do
    58.                 tar_file="audit_"$(echo $tar_files|awk -F "_" '{print $3}'|cut -d "-" -f 1-2)".tar"
    59.                 [ -f "$tar_file" ] && tar -rf "$tar_file" $tar_files || tar -cf "$tar_file" $tar_files
    60.                 rm -f $tar_files &>/dev/null
    61.             done
    62.    
    63.             find -type f -name "*tar" -mtime +31 | xargs -i basename {} | xargs -i bzip2 -zq9 {} &>/dev/null
    64.            
    65.             find -type f -name "*bz2" -mtime +365 | xargs -i basename {} | xargs -i rm -f {} &>/dev/null
    66.            
    67.             chown $user_id.$user_id * &>/dev/null
    68.             chmod 644 * &>/dev/null
    69.         fi
    70.     done   
    71. }

    73. ################################################################################
    74. #  Function Name:    Script Main Loop
    75. #  History:            2012-SEP-16    Initial Edition                        DAMCOOL
    76. ################################################################################
    77. BASE_DIR=$(cd "$(dirname "$0")" && pwd)
    78. PROGNAME=$(basename "$0")
    79. AUTHOR_MAIL="xxxx@gmail.com"
    80. ACRCHIVE=0
    81. HELP=0
    82. [ $# -eq 0 ] && help_usage
    83. while [ $# -gt 0 ]
    84. do
    85.     case "$1" in
    86.     (-a)        ACRCHIVE=1;shift;break;;
    87.     (-h)        HELP=1;shift;break;;
    88.     (--archive)    ACRCHIVE=1;shift;break;;
    89.     (--help)    HELP=1;shift;break;;
    90.     (*)            echo "$PROGNAME: error - unrecognized option or parameter $1" 1>&2; HELP=1;break;;
    91.     esac
    92.     shift
    93. done
    94. [ $# -gt 0 ] && HELP=1
    95. [ $HELP -eq 1 ] && help_usage
    96. [ $ACRCHIVE -eq 1 ] && archive_logging && exit 0
  • 最后,创建如下cron job负责定期归档审计记录文件
    1. 0 0 * * * sh /usr/local/admin/audit.sh --archive

本文转载自:

阅读(892) | 评论(0) | 转发(0) |
0

上一篇:Nagios安装部署与Cacti整合文档超精细版本

下一篇:oracle 如何增加表空间

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6