Unix系統(tǒng)用戶登錄及操作命令日志配置的方法

　　Unix操作系統(tǒng)有很多值得學(xué)習(xí)的地方，Unix系統(tǒng)用戶登錄、操作命令日志配置方法你了解多少呢?下面是相關(guān)的知識(shí)，歡迎閱讀。

　　在SOC、審計(jì)、4A等項(xiàng)目中，經(jīng)常需要解析 Unix系統(tǒng)的登錄日志，以此進(jìn)行分析用戶登錄行為，特別是在4A項(xiàng)目中，需要判定繞過(guò)堡壘主機(jī)的登錄行為及操作。對(duì)于Unix系統(tǒng)來(lái)說(shuō)，默認(rèn)的 syslog配置并不會(huì)記錄用戶的操作過(guò)程，只有一個(gè)結(jié)果的日志。比如以下在Linux系統(tǒng)上添加用戶：

　　[root@RHEL2 ~]# useradd -m bashuser1

　　在系統(tǒng)日志里會(huì)有如下，顯示了以上命令的一個(gè)結(jié)果，但是對(duì)于命令本身是沒(méi)有日志記錄在syslog中的。

　　Feb 19 11:21:39 RHEL2 useradd[3534]: new group: name=bashuser1, GID=503

　　Feb 19 11:21:39 RHEL2 useradd[3534]: new user: name=bashuser1, UID=502, GID=503, home=/home/bashuser1, shell=/bin/bash

　　對(duì)于登錄日志，其中Linux本身提供的SSH、telnet日志，其中包含源IP、登錄帳戶等信息。但是HP-UX、Solaris、AIX提供的telnet日志是基于inetd的，日志信息中不包含登錄帳戶信息。如以下是Linux系統(tǒng)上telnet登錄日志：

　　Feb 19 11:11:17 RHEL2 login: pam_unix(remote:session): session opened for user root by (uid=0)

　　Feb 19 11:11:17 RHEL2 login: ROOT LOGIN ON pts/4 FROM 192.168.56.1

　　其中日志信息包含了登錄用戶，登錄IP，作為一個(gè)登錄事件解析，變量是足夠的。但是對(duì)于HP-UX、Solaris、AIX提供的telnet日志，只是一個(gè)session的建立日志，只有登錄IP，沒(méi)有登錄用戶，作為登錄事件解析就缺少了關(guān)鍵的用戶信息：

　　Feb 19 11:11:13 RHEL2 xinetd[2354]: START: telnet pid=3414 from=192.168.56.1

　　因此，本文提出一種方法，統(tǒng)一所有Unix系統(tǒng)(Linux、HP-UX、Solaris、AIX、SuSe)的登錄(ssh、telnet、rlogin)日志、操作命令日志，可以作為系統(tǒng)日志的有效補(bǔ)充。以下為配置好后的登錄日志內(nèi)容：

　　<13>bashuser: class="HOST_LOGIN" type="2" time="2011-06-29 10:44:03" src_ip="192.168.14.83" dst_ip="192.168.99.243" primary_user="" secondary_user="bashuser" operation="" content="login successful" authen_status="Success" log_level="1" sessionid="12182"

　　<13>bashuser: class="HOST_COMMAND" type="3" time="2011-06-29 10:44:03" src_ip="192.168.14.83" dst_ip="192.168.100.90" primary_user="" secondary_user="bashuser" operation="uname -a" content="command" authen_status="" log_level="1" sessionid="12182"

　　日志格式說(shuō)明：

　　class:HOST_LOGIN，表示主機(jī)登錄;HOST_COMMAND，表示主機(jī)操作命令;

　　time：用戶登錄主機(jī)時(shí)間;

　　src_ip：登錄源IP地址;

　　dst_ip：主機(jī)地址;

　　primary_user：主賬號(hào)，這個(gè)變量是引用堡壘主機(jī)的概念加的，在這里會(huì)永遠(yuǎn)為空值;

　　secondary_user：從賬號(hào)，也就是主機(jī)上的賬號(hào)，也是引用堡壘主機(jī)的概念加的;

　　operation：針對(duì)HOST_COMMAND類，是實(shí)際的操作命令內(nèi)容;

　　content：表示結(jié)果，如登錄成功或者命令;

　　session_id：這里引用的變量是$$變量值;

　　可以根據(jù)實(shí)際需要增加刪除修改變量?jī)?nèi)容。

　　在講實(shí)際配置前，我們大概需要了解各個(gè)UnixLinux以下方面的知識(shí)：

　　——各Unix系統(tǒng)服務(wù)啟停、各Unix系統(tǒng)syslog配置;

　　——各Unix系統(tǒng)shell及shell啟動(dòng)文件;

　　——Login Shells, Interactive Shells;

　　http://blog.chinaunix.net/uid-29495937-id-4114576.html

　　——交互式shell和非交互式shell;

　　http://blog.chinaunix.net/uid-29495937-id-4114598.html

　　——Shell Setup Files — Which, Where, and Why

　　http://blog.chinaunix.net/uid-29495937-id-4114536.html

　　——In Unix, what startup and termination files do the various shells use?

　　http://blog.chinaunix.net/uid-29495937-id-4114602.html

　　——各Unix系統(tǒng)下的Shell編程、變量及引用、函數(shù)用法等

【Unix系統(tǒng)用戶登錄及操作命令日志配置的方法】相關(guān)文章：

unix操作系統(tǒng)關(guān)機(jī)方法09-05

Unix類操作系統(tǒng)入門方法09-08

實(shí)用的Linux/Unix系統(tǒng)磁帶管理命令10-27

Unix系統(tǒng)FreeBSD常用命令08-28

Linux系統(tǒng)常用操作命令06-24

Windows操作系統(tǒng)用戶擺脫黑客攻擊的方法08-02

Linux系統(tǒng)查看用戶的7個(gè)命令10-12

系統(tǒng)運(yùn)行變慢的解決方法：從操作系統(tǒng)用戶下手06-08

操作Linux系統(tǒng)需要哪些命令07-10