linux中 shell 曆史命令記錄功能_Linux

在 Linux 下面可以使用 history 命令查看使用者的所有曆史操作，同時 shell 命令操作記錄預設儲存在使用者目錄的 .bash_history 檔案中。通過這個檔案可以查詢 shell 命令的執行曆史，有助於營運人員進行系統審計和問題排查，同時在伺服器遭受駭客攻擊後，也可以查詢駭客登入伺服器的曆史命令操作。但是駭客在入侵後，為了抹除痕迹，會刪除 .bash_history 檔案，這個就需要合理備份這個檔案了。

預設的 history 命令只能查看使用者的曆史操作記錄，但是不能區分每個使用者操作命令的時間。這點對於問題排查相當的不方便。解決辦法是在 /etc/bashrc 檔案中加入以下四行來讓 history 命令自動記錄所有 shell 命令的執行時間：

複製代碼 代碼如下:

HISTFILESIZE=4000
HISTSIZE=4000
HISTTIMEFORMAT='%F %T'
export HISTTIMEFORMAT

HISTFILESIZE 表示在 .bash_history 檔案中儲存命令的記錄總數，預設值是 1000；HISTSIZE 定義了 history 命令輸出的記錄總數；HISTTIMEFORMAT 定義了時間顯示格式，該格式與 date 命令後的 “+"%F %T"” 是一樣的；HISTTIMEFORMAT 作為 history 的時間變數將值傳遞給 history 命令。

進階技巧

上面那個雖然可以記錄時間，但是無法作為審計目的使用，很容易被駭客篡改或者丟失。下面這種方法詳細記錄了登入過系統的使用者、IP 位址、shell 命令以及詳細操作的時間。並將這些資訊以檔案的形式儲存在一個安全的地方，以供系統審計和故障排查。

把以下代碼放入 /etc/profile 檔案中，即可實現上述功能。

複製代碼 代碼如下:

#Record history operation
USER_IP=`who -u am i 2>/dev/null |awk '{print $NF}' |sed -e 's/[()]//g'`
LOGNAME=`who -u am i |awk '{print $1}'`
HISTDIR=/user/share/.history
if [ -z $USER_IP]
then
    USER_IP=`hostname`
fi

if [ ! -d $HISTDIR]
then
    mkdir -p $HISTDIR
    chmod 777 $HISTDIR
fi

if [ ! -d $HISTDIR/${LOGNAME}]
then
    mkdir -p $HISTDIR/${LOGNAME}
    chmod 300 $HISTDIR/${LOGNAME}
fi

export HISTSIZE=4000

DT=`date +"%Y%m%d_%H%M%S"`
export HISTFILE="$HISTDIR/${LOGNAME}/${USER_IP}.history.$DT"
export HISTTIMEFORMAT="[%Y.%m.%d %H:%M:%S]"
chmod 600 $HISTDIR/${LOGNAME}/*.history* 2>/dev/null

 參考資料
 •<<高效能 Linux 伺服器構建實戰 - 系統安全、故障排查、自動化營運與叢集架構>> 這本書