2. 程式人生 > >伺服器命令審計功能

伺服器命令審計功能

阿新 發佈:2018-12-12

運維中,我們有時候想要記錄伺服器上誰登入了、幹了什麼,前者可以使用之前的ssh登入報警這篇文章,後者則可以參考本文。

此功能利用的是history命令、PROMPT_COMMAND環境變數、/etc/profile.d/擴充套件全域性環境變數,Linux中的PROMPT_COMMAND會記錄下出現提示符前面的命令,利用這個特性可以實現記錄所有使用者的操作記錄。

環境:

    centos6、7,要求安裝iproute(yum install iproute)

原理:

    自定義history和PROMPT_COMMAND相關環境變數,放到/etc/profile.d/中令全域性生效,記錄所有使用者的命令操作。

步驟:

    1. 將以下程式碼儲存到/etc/profile.d/cmdhistLog.sh

# bash cmd audit
# root touch $HISTFILE && chmod a+w $HISTFILE, yum install iproute
readonly HISTSIZE=10000
readonly HISTFILESIZE=10000
readonly HISTFILE=/tmp/XingkaOpsCmdHist.log
readonly SERVER_IPS=$(/usr/sbin/ip a | grep inet | grep -v inet6 | grep -v 127 | sed 's/^[ \t]*//g'
 
 | cut -d ' ' -f2 | awk -F '/' '{print $1}' | xargs | sed 's/\s/,/g')
readonly PROMPT_COMMAND='{ \
if [ -z "$OLD_PWD" ];then
    export OLD_PWD=$PWD;
fi;
if [ ! -z "$LAST_CMD" ] && [ "$(history 1)" != "$LAST_CMD" ]; then
    msg=$(history 1 | { read x y; echo $y; });echo [$(date +"%Y-%m-%d %H:%M:%S")] [\($USER\) $(who am i |awk "{print \$1\" \"\$2\" \"\$NF}" | sed -e "s/[()]//g")] [$(hostname)@$SERVER_IPS] "$msg" >> $HISTFILE;
fi;
export LAST_CMD="$(history 1)";
export OLD_PWD=$PWD; }'
 

shopt -s histappend
export HISTSIZE HISTFILESIZE HISTFILE PROMPT_COMMAND

 

    2. 上述儲存後,重新登入的終端即可生效,建議手動建立下日誌檔案,並需要授予所有人可寫許可權

# $HISTFILE改為實際日誌檔案路徑
touch $HISTFILE && chmod a+w $HISTFILE

 

    3. 使用python清洗日誌,篩選出有效的命令資料並上報給運維平臺、資料庫等

    # PS: 指令碼可能需要根據實際情況自行修改。

#!/usr/bin/python
# coding: utf8
# Author: taochengwei
# Email: [email protected]
# Date: 2018-12-11
# Docs: Command the audit log report

import os
import re
import sys
import stat
import json
import urllib
import urllib2
import traceback
reload(sys)
sys.setdefaultencoding('utf-8')

log = os.getenv('HISTFILE', '/tmp/XingkaOpsCmdHist.log')
pat = re.compile(r'^(\[.*\])\s(\[.*\])\s(\[.*\])\s(.*)$')
if not os.path.isfile(log):
    with open(log, "w") as f:
        f.write("")
    os.chmod(log, stat.S_IWUSR+stat.S_IRUSR+stat.S_IRGRP+stat.S_IWGRP+stat.S_IWOTH)


def post(url, data, token=None):
    """ POST請求 """
    if isinstance(data, dict):
        data = urllib.urlencode(data)  # 將字典以url形式編碼
    headers = {'AccessToken': token} if token else {}
    headers.update({"User-Agent": "Mozilla/5.0 (X11; CentOS; Linux i686; rv:7.0.1406) Gecko/20100101 OpsRequestBot/0.1", "Content-Type": "application/json"})
    request = urllib2.Request(url, data=data, headers=headers)
    response = urllib2.urlopen(request)
    response = response.read()
    try:
        data = json.loads(response)
    except Exception, e:
        traceback.print_exc()
        data = response
    return data


if __name__ == "__main__" and log and os.path.isfile(log):
    access_token = ""
    # read log
    with open(log, 'rb') as f:
        data = f.read()
    os.chmod(log, stat.S_IWUSR+stat.S_IRUSR+stat.S_IRGRP+stat.S_IWGRP+stat.S_IWOTH)
    # set post data pool
    # pool 是篩選後的有效命令資料,是一個列表,可以上報到運維平臺或寫入資料庫中
    pool = []
    for cmd in data.split("\n"):
        if pat.match(cmd):
            cmd = [i for i in pat.split(cmd) if i]
            if cmd and isinstance(cmd, (list, tuple)) and len(cmd) == 4:
                try:
                    # Time to execute the command
                    ctime = cmd[0].lstrip('[').rstrip(']')
                    # Switch user, real login user, terminal for pts or tty, client ip
                    suser, luser, terminal, clientIp = cmd[1].lstrip('[').rstrip(']').split()
                    suser = suser.replace('(', '').replace(')', '')
                    # the server hostname and all ip
                    hostname, serverIps = cmd[2].lstrip('[').rstrip(']').split('@')
                    # real bash command
                    command = cmd[3]
                except Exception, e:
                    traceback.print_exc()
                    print cmd
                else:
                    pool.append(dict(ctime=ctime, suser=suser, luser=luser, terminal=terminal, clientIp=clientIp, hostname=hostname, serverIps=serverIps, command=command))
    # post data with pool
    res = post("接收上報的運維平臺介面地址", json.dumps(pool), access_token)
    if res["code"] == 0:
        with open(log, "w") as f:
            f.write("")
    print(res)

 

    4. 後端處理

    # 這是後端運維平臺的介面路由函式,它接收命令審計資料,並用非同步任務寫入資料庫
    def serverCmdHist(self, data):
        """伺服器歷史命令記錄"""
        res = dict(code=1, msg=None)
        if data and isinstance(data, (list, tuple)):
            # 需要進一步篩選有效條目
            pool = []
            for log in data:
                if log and isinstance(log, dict) and \
                        "ctime" in log and \
                        "serverIps" in log and \
                        "hostname" in log and \
                        "terminal" in log and \
                        "command" in log and \
                        "suser" in log and \
                        "luser" in log and \
                        "clientIp" in log:
                    # check log params
                    try:
                        if not user_pat.match(log["luser"]) or not ip_check(log["clientIp"]) or not log["hostname"] or not log["command"]:
                            raise
                        datetime_to_timestamp(log["ctime"])
                    except:
                        pass
                    else:
                        # 此處生成一條有效命令唯一標識,避免誤提交審計日誌時重複寫入資料庫
                        log.update(oci=md5("%s-%s-%s-%s-%s" %(log["hostname"], log["ctime"], log["luser"], log["suser"], log["command"])))
                        pool.append(log)
            # 此處pool中的命令記錄都應該是有效的,放到非同步任務中寫入到mysql
            self.asyncQueueHigh.enqueue_call(func=ServerCmdHist2MySQL, args=(pool,), timeout=3600)
            res.update(code=0)
        else:
            res.update(msg="data error")
        return res

 

    5. 資料庫表結構

CREATE TABLE `servercmdhist` (
  `id` int(10) unsigned NOT NULL AUTO_INCREMENT,
  `oci` char(32) NOT NULL COMMENT '命令唯一標識',
  `hostname` varchar(150) NOT NULL COMMENT '主機名',
  `serverIps` varchar(255) DEFAULT NULL COMMENT '主機ip',
  `ctime` char(19) NOT NULL COMMENT '命令執行的時間',
  `luser` varchar(32) NOT NULL COMMENT '實際登入的使用者',
  `suser` varchar(32) DEFAULT NULL COMMENT '實際使用者切換後的使用者',
  `terminal` varchar(50) DEFAULT NULL COMMENT '登入終端型別',
  `clientIp` varchar(15) NOT NULL COMMENT '登入來源ip',
  `command` varchar(10000) NOT NULL COMMENT '執行的命令',
  PRIMARY KEY (`id`),
  UNIQUE KEY `oci` (`oci`),
  KEY `hostname` (`hostname`)
) ENGINE=InnoDB AUTO_INCREMENT=1 DEFAULT CHARSET=utf8;

 

原文:https://blog.saintic.com/blog/264.html

相關推薦

伺服器命令審計功能

運維中,我們有時候想要記錄伺服器上誰登入了、幹了什麼,前者可以使用之前的ssh登入報警這篇文章,後者則可以參考本文。 此功能利用的是history命令、PROMPT_COMMAND環境變數、/etc/profile.d/擴充套件全域性環境變數,Linux中的PROMPT_COMMAND會記錄下出現提示符前面

Linux 系統添加操作記錄--命令審計功能

export dir chmod history awk -- domo linux int **Linux 系統添加操作記錄審計 1.mkdir -p /usr/local/domob/records/ chmod 777 /usr/local/domob/records

Oracle審計功能

訪問 策略 賦值 設置 執行 數據字典 得到 結構 寫到 一、審計分類:  oracle中審計總體上可分為“標準審計”和“細粒度審計”後者也稱為“基於政策的審計”,在Oracle10G之後功能得到很大增強。其中標準審計可分為用戶級審計和系統級審計。用戶級審計是任何Oracl

LINUX服務器--所有用戶登陸操作命令審計

地址 linux服務器 () 重要 答案 查看 基本 hist 方法 Linux用戶操作記錄我們都可以通過命令history來查看歷史記錄,但是如果因為某人誤操作了刪除了重要的數據,那麽Linux history命令就基本上不會有太大的作用了。我們怎麽來查看Linux用戶操

Office365 PowerShell打開郵箱審計功能

securescore mailbox auditing 最近總公司要求Office365需要在所有的郵箱上面打開審計功能。這個功能沒法通過圖形界面操作,只能通過powershell腳本實現。微軟提供了一個官方的腳本,不過裏面有個小bughttps://technet.microsoft.com/en

shell命令常用功能

功能 shell命令 bsp style ifconfig conf 常用 空行 con 解析ip地址 ifconfig ethx | awk -F ‘[ :]+‘ ‘NR==2 {print $4}‘ 匹配空行 grep "^$" * shell命令常用功能集

MySQL利用init-connect增加訪問審計功能異常

MySQL審計 MySQL初始化 init_connect init-connet設置 註:該參數對超級用戶不生效 -- 創建測試庫 mysql> create database test; Query OK, 1 row affected (0.00 sec) mysql> use

Linux系統的命令別名功能

結果 命令使用 dev gnome 當前 then linux系統 works 可能 在管理和維護Linux系統的過程中,將會使用到大量命令,有一些很長的命令或用法經常被用到,重復而頻繁地輸入某個很長命令或用法是不可取的。這時可以使用命令別名功能將這個過程簡單化。 1.系統

【原創】命令列(2)----一些伺服器命令

      Ls Ps –x Cd server/ Sh stopall.sh Sh fresh.sh Sh runall.sh       命令全部小寫即可   Ls

安卓adb的命令功能彙總

安卓開發的對adb都有比較熟悉,但是可能有部分人,包括我,懶得記那麼多的命令,所以一直沒有用adb命令列去幫助我們完成一些除錯功能,後來用上了adb後,感覺越來越好用,可以方便的實現很多功能,但是平時又容易忘記一些命令,所以寫一篇文章,幫助自己記憶,也方便以後檢視: 1.adb

Linux系統遠端連線伺服器命令列模式

對於很多新手來說,如何用Windows遠端Linux作業系統,是個前進的大問題。如果這個問題前進不了,其他更別說了。 Linux或Max OS X系統電腦,登入步驟為 1.開啟ssh客戶端 2.使用者名稱:root 3.伺服器: 輸入伺服器的IP 埠預設為22 4.輸入伺服器密碼

伺服器熱備功能

伺服器為什麼要做雙機熱備?雙機熱備的好處?雙機熱備特指基於高可用系統中的兩臺伺服器的熱備(或高可用),因兩機高可用在國內使用較多,故得名雙機熱備,雙機高可用按工作中的切換方式分為:主-備方式(Active-Standby方式)和雙主機方式(Active-Active方式),主-備方式即指的是一臺伺服器處於某種

Java Netty遊戲架構-伺服器命令模型實踐

本篇將通過註解和反射來介紹一種遊戲伺服器命令的接收和處理的方式,希望各位喜歡。 在 Netty實戰手冊(三)中,HandlerService有一段程式碼: cmd.docommand( _ctx , ( ByteBuf ) _obj ); 這裡是接收訊息的入口,通過它,我們需要來完成3

linux Shell命令功能

1.命令補全          Tab 單擊補全命令   雙擊顯示經智慧匹配推測可能的命令 2.命令歷史          檢視 history           清空 history -c 3.命令別名          檢視 alias          

RN終止所有節點程序並啟動npm伺服器命令

2018年11月09日 10:55:03 Robin132929 閱讀數:6 標籤: RN

Linux下修改rm命令為mv,使rm命令原有功能失效

  Linux下修改rm命令,防止誤刪 2017年03月03日 14:34:33 執念丶丶 閱讀數:1570 版權宣告:本文為博主原創文章,未經博主允許不得轉載。 https://blog.csdn.net/Ace_Shiyuan/article/detai

Linux 伺服器命令

ls- a 檢視全部檔案 cd /home/server/tom8-wechatzhifu/logs ll cd .. 上一級 # rm -rf mapserv.war find /  redis.c

Redis 連線命令&Redis 伺服器命令

Redis 連線命令 下表列出了 redis 連線的基本命令: 序號 命令及描述 1 AUTH password 驗證密碼是否正確 2 ECHO message 列印字串 3 PING 檢視服務是否執行 4 QUIT

SQLMap工具-使用選項的操作命令&功能

轉載自:https://www.jianshu.com/p/fa77f2ed788b 可以參考:https://github.com/sqlmapproject/sqlmap/wiki/Usage 在使用時發現second-order引數已經被second-url替代。 目錄結構 1.Options(

遠端從本地上傳到linux伺服器命令lrzsz

linux需要安裝lrzsz,客戶端需要有安裝SecureCRT,因為lrzsz是SecureCRT進行管理,如使用putty在使用rz 和sz 命令時介面會卡死的,如果你沒有SecureCRT請自行