Unix系統用户登錄及操作命令日誌配置的方法
Unix操作系統有很多值得學習的地方,Unix系統用户登錄、操作命令日誌配置方法你瞭解多少呢?下面是相關的知識,歡迎閲讀。
在SOC、審計、4A等項目中,經常需要解析 Unix系統的登錄日誌,以此進行分析用户登錄行為,特別是在4A項目中,需要判定繞過堡壘主機的登錄行為及操作。對於Unix系統來説,默認的 syslog配置並不會記錄用户的操作過程,只有一個結果的日誌。比如以下在Linux系統上添加用户:
[root@RHEL2 ~]# useradd -m bashuser1
在系統日誌裏會有如下,顯示了以上命令的一個結果,但是對於命令本身是沒有日誌記錄在syslog中的。
Feb 19 11:21:39 RHEL2 useradd[3534]: new group: name=bashuser1, GID=503
Feb 19 11:21:39 RHEL2 useradd[3534]: new user: name=bashuser1, UID=502, GID=503, home=/home/bashuser1, shell=/bin/bash
對於登錄日誌,其中Linux本身提供的'SSH、telnet日誌,其中包含源IP、登錄帳户等信息。但是HP-UX、Solaris、AIX提供的telnet日誌是基於inetd的,日誌信息中不包含登錄帳户信息。如以下是Linux系統上telnet登錄日誌:
Feb 19 11:11:17 RHEL2 login: pam_unix(remote:session): session opened for user root by (uid=0)
Feb 19 11:11:17 RHEL2 login: ROOT LOGIN ON pts/4 FROM
其中日誌信息包含了登錄用户,登錄IP,作為一個登錄事件解析,變量是足夠的。但是對於HP-UX、Solaris、AIX提供的telnet日誌,只是一個session的建立日誌,只有登錄IP,沒有登錄用户,作為登錄事件解析就缺少了關鍵的用户信息:
Feb 19 11:11:13 RHEL2 xinetd[2354]: START: telnet pid=3414 from=
因此,本文提出一種方法,統一所有Unix系統(Linux、HP-UX、Solaris、AIX、SuSe)的登錄(ssh、telnet、rlogin)日誌、操作命令日誌,可以作為系統日誌的有效補充。以下為配置好後的登錄日誌內容:
<13>bashuser: class="HOST_LOGIN" type="2" time="2011-06-29 10:44:03" src_ip="" dst_ip="" primary_user="" secondary_user="bashuser" operation="" content="login successful" authen_status="Success" log_level="1" sessionid="12182"
<13>bashuser: class="HOST_COMMAND" type="3" time="2011-06-29 10:44:03" src_ip="" dst_ip="" primary_user="" secondary_user="bashuser" operation="uname -a" content="command" authen_status="" log_level="1" sessionid="12182"
日誌格式説明:
class:HOST_LOGIN,表示主機登錄;HOST_COMMAND,表示主機操作命令;
time:用户登錄主機時間;
src_ip:登錄源IP地址;
dst_ip:主機地址;
primary_user:主賬號,這個變量是引用堡壘主機的概念加的,在這裏會永遠為空值;
secondary_user:從賬號,也就是主機上的賬號,也是引用堡壘主機的概念加的;
operation:針對HOST_COMMAND類,是實際的操作命令內容;
content:表示結果,如登錄成功或者命令;
session_id:這裏引用的變量是$$變量值;
可以根據實際需要增加刪除修改變量內容。
在講實際配置前,我們大概需要了解各個UnixLinux以下方面的知識:
——各Unix系統服務啟停、各Unix系統syslog配置;
——各Unix系統shell及shell啟動文件;
——Login Shells, Interactive Shells;
——交互式shell和非交互式shell;
——Shell Setup Files — Which, Where, and Why
——In Unix, what startup and termination files do the various shells use?
——各Unix系統下的Shell編程、變量及引用、函數用法等
-
如何跳過Win10開機鎖屏界面
導語:為了減少開機時間,我們如何跳過Win10開機鎖屏界面呢?下面是小編給大家提供的'操作方法。大家可以參考閲讀,更多詳情請關注應屆畢業生考試網。Windows10開機跳過鎖屏界面的操作方法:1、在小娜Cortana搜索框中輸入命令,打開組策略編輯器;2、在組策略編輯器中,依...
-
Linux運維工程師的崗位職責20篇
在我們平凡的日常裏,我們可以接觸到崗位職責的地方越來越多,明確崗位職責能讓員工知曉和掌握崗位職責,能夠最大化的進行勞動用工管理,科學的進行人力配置,做到人盡其才、人崗匹配。你所接觸過的崗位職責都是什麼樣子的呢?下面是小編幫大家整理的Linux運維工程師的崗...
-
關於桌面的操作系統
桌面操作系統也可以説是個人電腦系統,一般指的是安裝在個人電腦上的圖形界面操作系統軟件。操作系統按應用領域來劃分,有桌面操作系統、服務器操作系統和嵌入式操作系統3種。桌面操作系統是其中應用最為廣泛的系統。特點1、桌面操作系統基本上是根據人在鍵盤和鼠...
-
四則XP系統使用技巧
XP操作系統可以説是得到了許多用户的支持,是一個功能強大,界面美觀的操作系統,但是其中也有許多技巧可以簡化我們的操作或者提高系統性能。只要我們在使用過程中稍加留心就會發現。一、快速關機對於快速關機,在網上也有許多方法,同時愛好是因人而異的,這裏也不妨介紹...