我们知道,centos的登陆成功日志使用last就可以查询出来,我不断的搜索资料发现它是存在/var/log/wtmp里面我们修改这个文件就可以达到目,结果打开之后傻眼了,全是看不到的,能看到的也是几个ip,然后我们改一下ip试一下,发现改完之后last命令出来的一眼就能看懂是被改了。
其实我们还是要在这个文件上面做文章,不过不是这样改,下面我来演示一下,先last看一下我们的登陆成功日志。
然后我们清空之后,再来看一下是上面样子的
好的,登陆记录不在了。下面就需要用到我提前准备的东西了。把我准备的东西追加到这个文件里面
然后看一下效果
和第一次的对比,我们发现,最近几条记录就这样不在了。借用这个例子,让大家惊醒一下,下面开始我们今天的正题“如何记录每个用户登陆都操作了什么”其实这个很简单,上网一搜就能找到很多的脚本,我这里就价绍一个,先把脚本放出来一下,不喜勿喷。
PS1='[\u@\h \W]\$ ' history USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` if [ "$USER_IP" = "" ] then USER_IP=`hostname` fi if [ ! -d /tmp/dbasky ] then mkdir /tmp/dbasky chmod 777 /tmp/dbasky fi if [ ! -d /tmp/dbasky/${LOGNAME} ] then mkdir /tmp/dbasky/${LOGNAME} chmod 300 /tmp/dbasky/${LOGNAME} fi export HISTSIZE=4096 DT=`date "+%Y-%m-%d_%H:%M:%S"` export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP} dbasky.$DT" chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null
我们在/etc/profile末尾加入这代码,然后保存。接下来就是测试我们的效果,新开一个连接,上去随便输入几个命令,来几个正常的,来几个不正常的,然后退出。
好,我们要开始检验我们的成果。
发现怎么这样,其实这个正常,我们不能随便来个用户都可以看到吧。所以我su成root看一下
本文由 podipod软库网 作者:DevOps 发表,转载请注明来源!