Shell-history命令加記錄用戶IP

記錄輸入的命令

history命令能夠查看用戶輸入過的命令，一個典型history命令輸出以下：

980 2017-05-29 20:17:37 cd -
981 2017-05-29 20:17:41 cat index.html
982 2017-05-29 20:20:11 vim index.html
983 2017-05-29 20:39:18 cd -
984 2017-05-29 20:39:25 cd /var/log/nginx/
985 2017-05-29 20:39:27 vim access.log
986 2017-05-29 20:50:10 netstat -ntlp
987 2017-05-31 11:04:39 tmux a -t0
988 2017-05-31 11:15:42 exit
989 2017-05-31 12:32:38 tmux a -t0

記錄IP

爲了記錄用戶的IP，須要首先獲取用戶的登陸IP。因爲在用戶登入期間，會話不會斷開，因此只需獲取一次便可。

獲取IP命令： who am i | awk '{print $NF}' | sed -e 's/[()]//g' 。

接着按照 username@ip datetime command 的格式記錄用戶的命令，這須要設置HISTTIMEFORMAT的值。獲取IP和設置命令格式結合起來：

IP=who am i | awk '{print $NF}' | sed -e 's/[()]//g'
export HISTTIMEFORMAT=$USER@$IP %F %T

爲了讓上述命令對全部用戶生效，可將其寫到/etc/profile文件中。設置完畢後（可能須要從新登陸，或者用source命令從新加載/etc/profile），history命令輸出以下相似結果：

412 root@8.8.8.8 2017-06-02 22:03:27 netstat -nt
414 root@8.8.8.8 2017-06-02 22:03:38 netstat -ntpl
415 root@8.8.8.8 2017-06-03 14:17:09 history
416 root@8.8.8.8 2017-06-03 14:17:30 tmux ls
417 root@8.8.8.8 2017-06-03 14:17:34 tmux
418 root@8.8.8.8 2017-06-03 14:17:49 tmux a -t0

history命令的內容保存在用戶的~/.bash_history文件中，用戶可隨時更改或者清除。爲了統一管理用戶的命令記錄，咱們但願用戶執行命令後，執行的命令能輸出到某個文件內。達到這個目的須要 PROMPT_COMMAND 環境變量的協助。

設置PROMPT_COMMAND將用戶的上一條命令log到syslog裏面去：

export PROMPT_COMMAND="history 1 | logger -t cmd_log -p user.notice"

logger命令將信息輸出到/var/log/messages中。任意輸入一個命令，而後打開/var/log/messages，會看到已經記錄在案。/var/log/messages文件只有root有權限訪問，從而達到了記錄用戶IP和命令的目的。

若是你熟悉syslog，能夠將命令記錄輸出到單獨的文件中。這須要在logger命令的-p選項中指定工具名稱和等級，例如local2.notice，而後編輯/etc/rsyslog.conf，將local2的信息輸出到單獨文件： local2.* /var/log/command.log，最後重啓rsyslog服務。

經過如上設定，便可在用戶無感知的狀況下log用戶的IP、時間和操做命令。

對用戶來講，如何繞過？能夠有兩種方式：

將命令寫到腳本，執行腳本；
unset PROMPT_COMMAND變量。

參考

https://askubuntu.com/questions/93566/how-to-log-all-bash-commands-by-all-users-on-a-server

http://moper.me/ssh-audit-chats.html

http://zhu8337797.blog.163.com/blog/static/170617549201222912830483/

轉載：http://www.jb51.net/article/117463.htm