安全运营 -- 监控linux命令history

0x00 背景

最近,有个IT的同事给我提了一个需求,说想监控/root/.ssh/ 文件夹下的文件变动,于是我灵机一动,这个需求只要对执行过的历史命令做审计就可以了。

0x01 实践

我实现这个功能使用 rsyslog 和 firewalld 两个组件。

我的设计是把命令history 转发到/usr/share/commands.log这个文件,再对这个文件监控。

export PROMPT_COMMAND='history 1 >> /usr/share/commands.log'

这个命令是临时的,只对当前会话可以记录。

如果想永久重定向,执行下面的命令

vi ~/.bashrc; export PROMPT_COMMAND='history 1 >> /usr/share/commands.log'; source ~/.bashrc

然后开始配置文件通过syslog配置轮转到 /var/log/firewalld.log,按照下面命令修改配置

vi /etc/rsyslog.d/commands.conf

Load the imfile module

module(load="imfile")

Monitor /usr/share/commands.log

input(type="imfile"

File="/usr/share/commands.log"

Tag="commands-log"

Severity="info"

Facility="local7")

Send logs to /var/log/firewalld.log

local7.* /var/log/firewalld.log

重启 syslog服务

systemctl restart rsyslog

当然,需要确保 firewall 处于开启状态

提供一份简单的检查firewall 状态代码

systemctl status firewalld

#开启firewalld Block 日志

firewall-cmd --set-log-denied=all

echo "Kern.* /var/log/firewalld.log">> /etc/rsyslog.d/firewalld.conf

sed -i '3a /var/log/firewalld.log' /etc/logrotate.d/syslog #第三行后面追加

systemctl restart rsyslog

#设定本机使用public安全区

firewall-cmd --set-default-zone=public

#设定堡垒机网段

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.xx.x.xx/26" service name="ssh" accept"

#添加/移除对外开放的端口号

firewall-cmd --permanent --add-port 443/tcp

firewall-cmd --add-port 137/udp --permanent

firewall-cmd --add-source 127.0.0.1/8 --permanent

firewall-cmd --add-source 0.0.0.0 --permanent

firewall-cmd --remove-port 22/tcp --permanent

#添加服务IP白名单

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.x.xx" accept"

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.xx.x.xx" port protocol="tcp" port="8089" accept"

#reload

firewall-cmd --reload

firewall-cmd --list-all

#开机自启动

systemctl enable firewalld

只要监控这个文件即可,不止有firewalld.log 还有command history,可以根据需求自由添加。

相关推荐
庸子5 分钟前
基于Jenkins和Kubernetes构建DevOps自动化运维管理平台
运维·kubernetes·jenkins
眠修28 分钟前
Kuberrnetes 服务发布
linux·运维·服务器
你不知道我是谁?1 小时前
AI 应用于进攻性安全
人工智能·安全
好奇的菜鸟1 小时前
Docker 配置项详解与示例
运维·docker·容器
xcs194052 小时前
集运维 麒麟桌面版v10 sp1 2403 aarch64 离线java开发环境自动化安装
运维·自动化
BAOYUCompany2 小时前
暴雨服务器成功中标华中科技大学集成电路学院服务器采购项目
运维·服务器
薄荷椰果抹茶2 小时前
【网络安全基础】第一章---引言
安全·网络安全
超龄超能程序猿2 小时前
Bitvisse SSH Client 安装配置文档
运维·ssh·github
奈斯ing3 小时前
【Redis篇】数据库架构演进中Redis缓存的技术必然性—高并发场景下穿透、击穿、雪崩的体系化解决方案
运维·redis·缓存·数据库架构
鳄鱼皮坡3 小时前
仿muduo库One Thread One Loop式主从Reactor模型实现高并发服务器
运维·服务器