安全运营 -- 监控linux命令history

0x00 背景

最近,有个IT的同事给我提了一个需求,说想监控/root/.ssh/ 文件夹下的文件变动,于是我灵机一动,这个需求只要对执行过的历史命令做审计就可以了。

0x01 实践

我实现这个功能使用 rsyslog 和 firewalld 两个组件。

我的设计是把命令history 转发到/usr/share/commands.log这个文件,再对这个文件监控。

export PROMPT_COMMAND='history 1 >> /usr/share/commands.log'

这个命令是临时的,只对当前会话可以记录。

如果想永久重定向,执行下面的命令

vi ~/.bashrc; export PROMPT_COMMAND='history 1 >> /usr/share/commands.log'; source ~/.bashrc

然后开始配置文件通过syslog配置轮转到 /var/log/firewalld.log,按照下面命令修改配置

vi /etc/rsyslog.d/commands.conf

Load the imfile module

module(load="imfile")

Monitor /usr/share/commands.log

input(type="imfile"

File="/usr/share/commands.log"

Tag="commands-log"

Severity="info"

Facility="local7")

Send logs to /var/log/firewalld.log

local7.* /var/log/firewalld.log

重启 syslog服务

systemctl restart rsyslog

当然,需要确保 firewall 处于开启状态

提供一份简单的检查firewall 状态代码

systemctl status firewalld

#开启firewalld Block 日志

firewall-cmd --set-log-denied=all

echo "Kern.* /var/log/firewalld.log">> /etc/rsyslog.d/firewalld.conf

sed -i '3a /var/log/firewalld.log' /etc/logrotate.d/syslog #第三行后面追加

systemctl restart rsyslog

#设定本机使用public安全区

firewall-cmd --set-default-zone=public

#设定堡垒机网段

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.xx.x.xx/26" service name="ssh" accept"

#添加/移除对外开放的端口号

firewall-cmd --permanent --add-port 443/tcp

firewall-cmd --add-port 137/udp --permanent

firewall-cmd --add-source 127.0.0.1/8 --permanent

firewall-cmd --add-source 0.0.0.0 --permanent

firewall-cmd --remove-port 22/tcp --permanent

#添加服务IP白名单

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.x.xx" accept"

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.xx.x.xx" port protocol="tcp" port="8089" accept"

#reload

firewall-cmd --reload

firewall-cmd --list-all

#开机自启动

systemctl enable firewalld

只要监控这个文件即可,不止有firewalld.log 还有command history,可以根据需求自由添加。

相关推荐
dingzd9515 分钟前
了解去中心化金融在现代经济中的作用——安全交易新时代
安全·金融·web3·去中心化·facebook·tiktok·instagram
sky丶Mamba20 分钟前
CMD,PowerShell、Linux/MAC设置环境变量
linux·运维·macos
运维开发王义杰37 分钟前
打破技术债困境:从“保持现状”到成为变革的推动者
运维·职场和发展
工藤新一¹42 分钟前
Linux 开发工具
linux·运维·服务器
W111115_1 小时前
网络综合实验
linux·运维·服务器·网络
cui_win1 小时前
【网络】Linux 内核优化实战 - net.ipv4.tcp_sack
linux·网络·tcp/ip
x县豆瓣酱1 小时前
ubuntu server远程连接
linux·运维·ubuntu
0wioiw01 小时前
Ubuntu基础(Python虚拟环境和Vue)
linux·python·ubuntu
史不了1 小时前
无 sudo 运行:让你的程序在 Ubuntu 低端口监听
linux·运维·ubuntu
weixin_472339461 小时前
网络安全基石:从弱口令治理到动态防御体系的构建
安全·web安全