正文

linux历史命令升级:自动记录时间和登录IP

admin
admin V管理员 /0 评论 /96 阅读
0923
此篇文章发布距今已超过61天,您需要注意文章的内容或图片是否可用!
在Linux系统中,默认的history命令虽然能查看当前用户的历史操作记录,但缺乏详细的信息分类,如用户身份、命令执行的具体时间、以及执行命令的登录IP等。

在Linux系统中,/etc/profile为每个用户设置环境信息,当用户第一次登录时,该文件被执行,执行时并从 /etc/profile.d 目录下执行存放的脚本文件。

在/etc/profile和/etc/profile.d/下执行脚本均可实现所需功能,为了方便管理,因此在/etc/profile.d目录下创建了一个userip.sh(脚本为修改网上找的,出处不详),该脚本在用户登录时自动执行,配置历史命令记录功能,并将每条命令的执行详情(包括时间戳、执行用户、登录IP)保存到指定目录下的文件中。这样,系统管理员和用户都能方便地回溯和审查命令执行情况。
脚本内容
export HISTTIMEFORMAT="%F %T `whoami` "  #或将%F %T 修改为%Y-%m-%d %H:%M:%Sexport HISTSIZE=5000   #定义history命令输出的记录总数,默认1000#提取登录IP,若为空主机名填补USER_IP=$(who  am i | awk '{print $5}'|tr -d '()')if [ -z "$USER_IP" ]thenUSER_IP=`hostname`fi#自动创建history文件夹if [ ! -d /opt/history ]thenmkdir /opt/history  #自定义存储位置,确保历史命令记录的安全与可管理性。chmod 777 /opt/historyfi#自动创建用户名文件夹if [ ! -d /opt/history/${LOGNAME} ]thenmkdir /opt/history/${LOGNAME}chmod 300 /opt/history/${LOGNAME}fi#定义历史文件名称及保存路径Date=`date +"%Y%m%d_%H%M%S"`HISTFILE="/opt/history/${LOGNAME}/${USER_IP}_$Date.txt"
注意事项:
1.如果系统有多个网络接口或多个IP地址,此脚本将只捕获第一个匹配的IPv4地址。对于IPv6地址或需要处理多个IP的情况,脚本需要相应地进行调整。

2./etc/profile.d/下 脚本是遍历执行,新增的脚本尽量靠后,避免出现影响执行问题,我这块遇到命名history.sh执行后获取不到正确IP,改为userip.sh正确执行或将脚本添加至/etc/profile末尾,source生效执行。    

3.每次登录都会生成一个对应文件,若登录量大可考虑设置自动定时删除旧文件,例如删除30天之前的历史文件

0 1 * * * find /opt/history/ -type f -mtime +30 -exec rm -f {} ;
 测试
登录不同的用户(如root和test用户),执行一些命令,然后检查/opt/history目录下的相应文件夹和文件。可以看到每个用户都有一个以自己用户名命名的文件夹,其中包含了以其登录IP和时间戳命名的文件,这些文件中记录了该用户执行的历史命令及其详细信息。

对于内容中的时间戳 我们可以使用date -d @时间戳来还原


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下