需求
运维工程师在工作中经常会遇到这样的问题:
- 服务器的文件被删除了,谁干的?
- 服务器的整个服务被删除了,谁干的?
- 服务器上启动了一个奇怪的进程占据了大量的CPU,谁干的?
这个时候,如果我们找不到始作俑者,那毫无疑问得运维自己背锅。如果有证据证明是别人干的,我们才能坦然地(甩锅)找到对应的人问清楚原因。这个时候,我们就需要做好服务器的命令审计。
下面,给大家介绍一种非常简单实用的服务器命令审计方式,设置一个命令审计日志系统,非常好用!
配置
我们只需要把这一段代码执行,就完成了配置:
# 创建目录和文件
sudo mkdir -p /var/log/cmd_audit
sudo touch /var/log/cmd_audit/audit.log
# 设置目录和文件权限
sudo chmod 755 /var/log/cmd_audit
sudo chmod 662 /var/log/cmd_audit/audit.log
# 设置文件仅允许追加属性
sudo chattr +a /var/log/cmd_audit/audit.log
# 写入内容到 /etc/profile.d/cmd_audit.sh
sudo tee /etc/profile.d/cmd_audit.sh > /dev/null << 'EOF'
################## Audit ##################
export PATH USER LOGNAME MAIL HOSTNAME HISTSIZE HISTCONTROL
HISTTIMEFORMAT="%Y/%m/%d %T"; export HISTTIMEFORMAT
# 定义审计命令
audit_command='{ thisHistID=`history 1 | awk "{print \\$1}"`; lastCommand=`history 1 | awk "{\\$1=\"\"; print}"`; user=`id -un`; pwd=`pwd`; whoStr=(`who -u am i`); realUser=${whoStr[0]}; logMonth=${whoStr[2]}; logDay=${whoStr[3]}; logTime=${whoStr[4]}; pid=${whoStr[6]}; ip=${whoStr[7]}; if [ ${thisHistID}x != ${lastHistID}x ]; then echo -E `date "+%Y/%m/%d %H:%M:%S"` $user\($realUser\)@$ip[IP:$pid][PWD:$pwd][LOGIN:$logMonth $logDay $logTime] --- $lastCommand; lastHistID=$thisHistID; fi; } >> $HISTORY_FILE'
# 检查和设置 PROMPT_COMMAND
if [ -z "${PROMPT_COMMAND_READONLY}" ]; then
if [ -z "${PROMPT_COMMAND}" ]; then
export PROMPT_COMMAND="$audit_command"
else
export PROMPT_COMMAND="$PROMPT_COMMAND; $audit_command"
fi
export HISTORY_FILE=/var/log/cmd_audit/audit.log
export PROMPT_COMMAND_READONLY=1
readonly PROMPT_COMMAND_READONLY
fi
################## Audit_end ##############
EOF
# 使配置立即生效
source /etc/profile.d/cmd_audit.sh
你可以直接复制后粘贴到服务器上,也可以执行下面这条命令帮你配置完成:
curl -s http://8.138.10.37/tools/setup_cmd_audit.sh | tee /tmp/setup_cmd_audit.sh && read -p "可以执行此文件吗? (y/n): " user_input && [ "$user_input" = "y" ] && bash /tmp/setup_cmd_audit.sh && rm /tmp/setup_cmd_audit.sh
效果
执行后,登录到服务器上操作的命令行都会被记录到/var/log/audit/cmd_audit.log
,我们看看效果:
[root@devops ~]# tail -f /var/log/cmd_audit/audit.log
2024/07/21 19:11:32 root(root)@[IP:(172.30.0.254)][PWD:/root][LOGIN:2024-07-21 19:11 .] --- 2024/07/21 19:10:46 date
2024/07/21 19:11:38 root(root)@[IP:(172.30.0.254)][PWD:/root][LOGIN:2024-07-21 19:11 .] --- 2024/07/21 19:11:37 top
2024/07/21 19:11:40 root(root)@[IP:(172.30.0.254)][PWD:/root][LOGIN:2024-07-21 19:11 .] --- 2024/07/21 19:11:40 touch demo
2024/07/21 19:11:43 root(root)@[IP:(172.30.0.254)][PWD:/root][LOGIN:2024-07-21 19:11 .] --- 2024/07/21 19:11:43 rm -rf demo
# 这是root切换到jaywin用户
2024/07/21 19:11:59 jaywin(root)@[IP:(172.30.0.254)][PWD:/home/jaywin][LOGIN:2024-07-21 19:11 .] --- 2024/07/21 19:08:17 touch
2024/07/21 19:12:05 jaywin(root)@[IP:(172.30.0.254)][PWD:/home/jaywin][LOGIN:2024-07-21 19:11 .] --- 2024/07/21 19:12:05 touch somefile
并且,这个审计文件只能追加,任何用户都无法修改,删除!只有超级管理员才能查看,其他普通用户都无法查看!
解释
这个设置的原理是通过配置特殊变量PROMPT_COMMAND
,在每次显示提示符之前执行指定的命令。简而言之,它允许你在每次命令提示符出现之前运行一段代码。这在审计、日志记录和其他自动化任务中非常有用。
接下来说明下具体原理,这里涉及到几个知识点,我们根据脚本的内容一一来讲:
# 下面的配置保证了审计文件只有管理员才有权限操作!
# 设置目录和文件权限
sudo chmod 755 /var/log/cmd_audit # 755表示目录权限是rwxr-xr-x,允许所有用户执行,以便在这个目录下的文件,能写入用户的命令
sudo chmod 662 /var/log/cmd_audit/audit.log # 622表示文件权限是-rw-rw--w-,不允许其他用户查看文件内容
# 设置文件仅允许追加属性
sudo chattr +a /var/log/cmd_audit/audit.log # chattr+a表示此文件仅允许追加操作,任何用户都无法修改文件内容或删除文件!
以下是命令审计日志系统的重点解释:
export PATH USER LOGNAME MAIL HOSTNAME HISTSIZE HISTCONTROL
-
export
命令将指定的环境变量导出到当前环境,使它们在当前会话及其子进程中都可用。 -
PATH
:指定可执行文件的搜索路径。 -
USER
:当前用户的用户名。 -
LOGNAME
:当前用户的登录名。 -
MAIL
:当前用户的邮件目录。 -
HOSTNAME
:当前主机的名称。 -
HISTSIZE
:命令历史记录的最大条数。 -
HISTCONTROL
:控制历史记录的行为。
HISTTIMEFORMAT="%Y/%m/%d %T"; export HISTTIMEFORMAT
-
HISTTIMEFORMAT
:设置历史记录中的时间格式。在这种情况下,时间格式为YYYY/MM/DD HH:MM:SS
。 -
export HISTTIMEFORMAT
:将HISTTIMEFORMAT
变量导出到当前环境,使其在所有子进程中也可用。
audit_command='{ thisHistID=`history 1 | awk "{print \\$1}"`; lastCommand=`history 1 | awk "{\\$1=\"\"; print}"`; user=`id -un`; pwd=`pwd`; whoStr=(`who -u am i`); realUser=${whoStr[0]}; logMonth=${whoStr[2]}; logDay=${whoStr[3]}; logTime=${whoStr[4]}; pid=${whoStr[6]}; ip=${whoStr[7]}; if [ ${thisHistID}x != ${lastHistID}x ]; then echo -E `date "+%Y/%m/%d %H:%M:%S"` $user\($realUser\)@$ip[IP:$pid][PWD:$pwd][LOGIN:$logMonth $logDay $logTime] --- $lastCommand; lastHistID=$thisHistID; fi; } >> $HISTORY_FILE'
thisHistID=`history 1 | awk "{print \\$1}"` # 获取当前历史ID
lastCommand=`history 1 | awk "{\\$1=\"\"; print}"` # 获取最后一条命令
user=`id -un`;pwd=`pwd` # 获取当前用户和当前路径
# 获取用户登录信息
whoStr=(`who -u am i`) # 用户登录信息
realUser=${whoStr[0]} # 用户名
logMonth=${whoStr[2]} # 登录时间
logDay=${whoStr[3]}
logTime=${whoStr[4]}
pid=${whoStr[6]} # 登录会话ID
ip=${whoStr[7]} # 登录的客户端IP
if [ ${thisHistID}x != ${lastHistID}x ]; then
echo -E `date "+%Y/%m/%d %H:%M:%S"` $user\($realUser\)@$ip[IP:$pid][PWD:$pwd][LOGIN:$logMonth $logDay $logTime] --- $lastCommand
lastHistID=$thisHistID
fi
- 检查历史记录 ID 是否变化并记录审计信息
if [ -z "${PROMPT_COMMAND_READONLY}" ]; then
if [ -z "${PROMPT_COMMAND}" ]; then
export PROMPT_COMMAND="$audit_command"
else
export PROMPT_COMMAND="$PROMPT_COMMAND; $audit_command"
fi
export HISTORY_FILE=/var/log/cmd_audit/audit.log
export PROMPT_COMMAND_READONLY=1
readonly PROMPT_COMMAND_READONLY
fi
- 配置PROMPT_COMMAND环境变量,并设置为只读,放置其他用户私自修改导致命令审计失败
注意
- 你最好在服务器初始化时做好此项配置;
- 你最好结合用户权限管理系统来使用,才能真正发挥这个配置的功能;
下一期,我们会简单谈谈如何实现一个用户权限管理系统,敬请期待~
标签:审计,audit,背锅,log,19,cmd,07,运维防,21 From: https://www.cnblogs.com/zhaojw1213/p/18314393