安全运营 -- 监控linux命令history

0x00 背景

最近,有个IT的同事给我提了一个需求,说想监控/root/.ssh/ 文件夹下的文件变动,于是我灵机一动,这个需求只要对执行过的历史命令做审计就可以了。

0x01 实践

我实现这个功能使用 rsyslog 和 firewalld 两个组件。

我的设计是把命令history 转发到/usr/share/commands.log这个文件,再对这个文件监控。

export PROMPT_COMMAND='history 1 >> /usr/share/commands.log'

这个命令是临时的,只对当前会话可以记录。

如果想永久重定向,执行下面的命令

vi ~/.bashrc; export PROMPT_COMMAND='history 1 >> /usr/share/commands.log'; source ~/.bashrc

然后开始配置文件通过syslog配置轮转到 /var/log/firewalld.log,按照下面命令修改配置

vi /etc/rsyslog.d/commands.conf

Load the imfile module

module(load="imfile")

Monitor /usr/share/commands.log

input(type="imfile"

File="/usr/share/commands.log"

Tag="commands-log"

Severity="info"

Facility="local7")

Send logs to /var/log/firewalld.log

local7.* /var/log/firewalld.log

重启 syslog服务

systemctl restart rsyslog

当然,需要确保 firewall 处于开启状态

提供一份简单的检查firewall 状态代码

systemctl status firewalld

#开启firewalld Block 日志

firewall-cmd --set-log-denied=all

echo "Kern.* /var/log/firewalld.log">> /etc/rsyslog.d/firewalld.conf

sed -i '3a /var/log/firewalld.log' /etc/logrotate.d/syslog #第三行后面追加

systemctl restart rsyslog

#设定本机使用public安全区

firewall-cmd --set-default-zone=public

#设定堡垒机网段

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.xx.x.xx/26" service name="ssh" accept"

#添加/移除对外开放的端口号

firewall-cmd --permanent --add-port 443/tcp

firewall-cmd --add-port 137/udp --permanent

firewall-cmd --add-source 127.0.0.1/8 --permanent

firewall-cmd --add-source 0.0.0.0 --permanent

firewall-cmd --remove-port 22/tcp --permanent

#添加服务IP白名单

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.x.xx" accept"

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.xx.x.xx" port protocol="tcp" port="8089" accept"

#reload

firewall-cmd --reload

firewall-cmd --list-all

#开机自启动

systemctl enable firewalld

只要监控这个文件即可,不止有firewalld.log 还有command history,可以根据需求自由添加。

相关推荐
枷锁—sha18 分钟前
跨站请求伪造漏洞(CSRF)详解
运维·服务器·前端·web安全·网络安全·csrf
云途行者27 分钟前
使用 docker 安装 openldap
运维·docker·容器
群联云防护小杜34 分钟前
深度隐匿源IP:高防+群联AI云防护防绕过实战
运维·服务器·前端·网络·人工智能·网络协议·tcp/ip
YuTaoShao1 小时前
【LeetCode 热题 100】994. 腐烂的橘子——BFS
java·linux·算法·leetcode·宽度优先
退役小学生呀1 小时前
十五、K8s可观测能力:日志收集
linux·云原生·容器·kubernetes·k8s
van叶~1 小时前
Linux探秘坊-------15.线程概念与控制
linux·运维·服务器
Andy杨3 小时前
20250718-1-Kubernetes 应用程序生命周期管理-应用部署、升级、弹性_笔记
linux·docker·容器
天天进步20156 小时前
前端安全指南:防御XSS与CSRF攻击
前端·安全·xss
写写闲篇儿6 小时前
Python+MongoDB高效开发组合
linux·python·mongodb
一个龙的传说8 小时前
linux 常用命令
linux·服务器·zookeeper