一个系统安全的问题,如何实现一个命令审计的脚本..

kerom

UID: 37283
帖子: 1
积分: 2
在线时间: 10 分钟

1^# kerom 发表于 2008-07-15 09:04

一个系统安全的问题,如何实现一个命令审计的脚本..

一个系统安全的问题,如何实现一个命令审计的脚本..

公司有几台linux服务器,
登录的人较多,都是用同一个用户登录.

从安全方面考虑,如何得到某个IP运行的命令?以方便做一个命令审计脚本.
*******
用一些审计命令,象sa,lastcomm,等等,只能记录命令,而不能记录命令所带的参数, 象 rm -rf / 只能记录rm
而且没有审计登录ip,只审计登录用户.
*******

.bash_history这个文件里面已经记录了历史命令,和命令所带的参数,

这个文件是怎么生成的?

如何修改一下,让它不仅记录命令,还记录运行命令的时间和ip呢?

有什么思路吗?

kerom

UID: 37283
帖子: 1
积分: 2
在线时间: 10 分钟

2^# kerom 发表于 2008-07-15 10:12

顶一下

hwxo

UID: 27474
帖子: 193
积分: 443
在线时间: 2 天 2 小时

3^# hwxo 发表于 2008-07-15 10:20

思路你已经有了。

script。

ant_tree

UID: 16473
帖子: 22
积分: 50
在线时间: 10 分钟

4^# ant_tree 发表于 2008-07-15 10:31

关注中。。。

apile

UID: 42255
帖子: 66
积分: 151
在线时间: 6 小时

5^# apile 发表于 2008-07-15 11:41

QUOTE:

原帖由 kerom 于 2008-7-15 09:04 发表
一个系统安全的问题,如何实现一个命令审计的脚本..

公司有几台linux服务器,
登录的人较多,都是用同一个用户登录.

从安全方面考虑,如何得到某个IP运行的命令?以方便做一个命令审计脚本.
*******
用一些 ...

我们在AIX上做过一样的事情...
因为AIX上可以允许登入之後..运行自己写的Script...
所以我们的作法是把那个帐号的密码设为空...然後登入之後...马上运行perl 与 expect ..
.输入自己LDAP的帐号密码..待LDAP认证通过後...
利用su - 变成自己的user...

另外在/etc/profile也有做一些事情...分辨不同的登入帐号..设定不同的环境变量...做不同的事情...

所有要共同使用的file设定成775..这样子只要同一个group都可以完全操作同一个file...

最後你就可以在每个人的.bash_history里面看到他们做过什麽事情...

Linux的话..你要研究一下.../etc/profile应该也可以才对....至於程序..因为不是我写的...所以只知道大概..

kerom

UID: 37283
帖子: 1
积分: 2
在线时间: 10 分钟

6^# kerom 发表于 2008-07-15 12:58

QUOTE:

原帖由 apile 于 2008-7-15 11:41 发表

我们在AIX上做过一样的事情...
因为AIX上可以允许登入之後..运行自己写的Script...
所以我们的作法是把那个帐号的密码设为空...然後登入之後...马上运行perl 与 expect ..
.输入自己LDAP的帐号密码..待L ...

**
谢谢 apile