关于ssh审计的聊天记录
对用户的命令进行审计,并且通过syslog集中管理
r_ip=`who am i` HISTTIMEFORMAT="$r_ip-$USER %Y-%m-%d %T>" export PROMPT_COMMAND="history 1|tee -a /tmp/cmd_tmp|logger -t cmd_log -p local3.notice"
添加到/etc/profile 里面去到了
你们怎样对账号进行审计工作的呢?
只要是用户登录了 就会记录下用户的行为
哪怕是ssh su 后都可以追查到,不过对用户编写脚本后无法查看脚本内的具体命令
tee -a /tmp/cmd_tmp 这一段可以不要使用
或者你指定一个位置 将权限设置成222
因为默认是谁创建文件权限就只能属于谁 命令中会在本机保留一份 /var/log/mesages里面保留一份
你也可以设置你的syslog服务器不要保留到/var/log/mesages 直接发送到syslog服务器这样就只能是管理员才能看到了
本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。
感觉进来好复杂啊。。。
还好吧?