安全运营 -- 监控linux命令history

0x00 背景

最近,有个IT的同事给我提了一个需求,说想监控/root/.ssh/ 文件夹下的文件变动,于是我灵机一动,这个需求只要对执行过的历史命令做审计就可以了。

0x01 实践

我实现这个功能使用 rsyslog 和 firewalld 两个组件。

我的设计是把命令history 转发到/usr/share/commands.log这个文件,再对这个文件监控。

export PROMPT_COMMAND='history 1 >> /usr/share/commands.log'

这个命令是临时的,只对当前会话可以记录。

如果想永久重定向,执行下面的命令

vi ~/.bashrc; export PROMPT_COMMAND='history 1 >> /usr/share/commands.log'; source ~/.bashrc

然后开始配置文件通过syslog配置轮转到 /var/log/firewalld.log,按照下面命令修改配置

vi /etc/rsyslog.d/commands.conf

Load the imfile module

module(load="imfile")

Monitor /usr/share/commands.log

input(type="imfile"

File="/usr/share/commands.log"

Tag="commands-log"

Severity="info"

Facility="local7")

Send logs to /var/log/firewalld.log

local7.* /var/log/firewalld.log

重启 syslog服务

systemctl restart rsyslog

当然,需要确保 firewall 处于开启状态

提供一份简单的检查firewall 状态代码

systemctl status firewalld

#开启firewalld Block 日志

firewall-cmd --set-log-denied=all

echo "Kern.* /var/log/firewalld.log">> /etc/rsyslog.d/firewalld.conf

sed -i '3a /var/log/firewalld.log' /etc/logrotate.d/syslog #第三行后面追加

systemctl restart rsyslog

#设定本机使用public安全区

firewall-cmd --set-default-zone=public

#设定堡垒机网段

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.xx.x.xx/26" service name="ssh" accept"

#添加/移除对外开放的端口号

firewall-cmd --permanent --add-port 443/tcp

firewall-cmd --add-port 137/udp --permanent

firewall-cmd --add-source 127.0.0.1/8 --permanent

firewall-cmd --add-source 0.0.0.0 --permanent

firewall-cmd --remove-port 22/tcp --permanent

#添加服务IP白名单

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.x.xx" accept"

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.xx.x.xx" port protocol="tcp" port="8089" accept"

#reload

firewall-cmd --reload

firewall-cmd --list-all

#开机自启动

systemctl enable firewalld

只要监控这个文件即可,不止有firewalld.log 还有command history,可以根据需求自由添加。

相关推荐
JuiceFS25 分钟前
从 MLPerf Storage v2.0 看 AI 训练中的存储性能与扩展能力
运维·后端
CYRUS_STUDIO4 小时前
用 Frida 控制 Android 线程:kill 命令、挂起与恢复全解析
android·linux·逆向
熊猫李5 小时前
rootfs-根文件系统详解
linux
chen9456 小时前
mysql 3节点mgr集群部署
运维·后端
LH_R7 小时前
OneTerm开源堡垒机实战(三):功能扩展与效率提升
运维·后端·安全
dessler8 小时前
Hadoop HDFS-高可用集群部署
linux·运维·hdfs
泽泽爱旅行8 小时前
awk 语法解析-前端学习
linux·前端
你的人类朋友20 小时前
什么是API签名?
前端·后端·安全
深盾安全1 天前
ProGuard混淆在Android程序中的应用
安全
少妇的美梦1 天前
logstash教程
运维