linux记录用户操作

㈠ linux系统上记录MYSQL操作的审计日志

    根据笔者上一篇文章—Linux系统上记录用户操作的审计日志 。本文来利用相同的方法记录MYSQL操作的审计日志。

    使用用mysql工具连接MySQL server的所有操作会默认记录到~/.mysql_history文件中，这个文件会把所有操作记录下来，包括创建用户和修改用户的明文密码，这在生产系统上是不安全的。如果不想保存，仅仅删除是不行的（文件不存在会再建立），要直接将其软连接到垃圾箱。

     ln  -s  /dev/null  ~/.mysql_history

    利用上一篇文章相同的方法记录MYSQL操作的审计日志，是因为mysql工具本身就是有一个shell, 每次mysql连接退出后，都会把此次操作的信息记录到~/.mysql_history文件中。那么可以重新定义MYSQL_HISTFILE环境变量来保存mysql日志。

    先看置于/etc/profile.d目录下的环境变量的脚本mysql_history.sh，和loginlog类似。

      在测试时，发现平时使用的普通用户在操作mysql后无法记录，而root用户（平时没有操作过mysql）可以记录成功。后来在在~/.mysql_history文件找到了操作记录，估计是这个文件还存在的原因，删除后才记录到新的MYSQL_HISTFILE定义的路径。

      和loginlog一样，需要定期删除过期日志，以下脚本置于/etc/cron.weekly 目录下。

        delete_time=15

        find /opt/mysqllog/  -mtime +$delete_time -name '*.log' -exec rm -r {} \;

      但是相比于loginlog，mysqllog有两点暂时没有解决。

    1、定义最大的记录条数history.maxSize不知在哪定义，my.cnf?

    2、每一条命令的时间记录添加。

㈡ 如何查看Linux中各个用户的历史操作命令

如何查看Linux中各个用户的历史操作命令

1.要查看用户名为test的历史操作命令
cat /home/test/.bash_history

㈢ Linux里面如何查看系统用户登录日志

一、查看日志文件
Linux查看/var/log/wtmp文件查看可疑IP登陆

last -f /var/log/wtmp

该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加，该文件的大小也会越来越大，

增加的速度取决于系统用户登录的次数。该日志文件可以用来查看用户的登录记录，

last命令就通过访问这个文件获得这些信息，并以反序从后向前显示用户的登录记录，last也能根据用户、终端tty或时间显示相应的记录。

查看/var/log/secure文件寻找可疑IP登陆次数

二、 脚本生成所有登录用户的操作历史
在linux系统的环境下，不管是root用户还是其它的用户只有登陆系统后用进入操作我们都可以通过命令history来查看历史记录，可是假如一台服务器多人登陆，一天因为某人误操作了删除了重要的数据。这时候通过查看历史记录（命令：history）是没有什么意义了（因为history只针对登录用户下执行有效，即使root用户也无法得到其它用户histotry历史）。那有没有什么办法实现通过记录登陆后的IP地址和某用户名所操作的历史记录呢？答案：有的。

通过在/etc/profile里面加入以下代码就可以实现：

PS1="`whoami`@`hostname`:"'[$PWD]'
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/dbasky ]
then
mkdir /tmp/dbasky
chmod 777 /tmp/dbasky
fi
if [ ! -d /tmp/dbasky/${LOGNAME} ]
then
mkdir /tmp/dbasky/${LOGNAME}
chmod 300 /tmp/dbasky/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP}-dbasky.$DT"
chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null

source /etc/profile 使用脚本生效

退出用户，重新登录

?面脚本在系统的/tmp新建个dbasky目录，记录所有登陆过系统的用户和IP地址（文件名），每当用户登录/退出会创建相应的文件，该文件保存这段用户登录时期内操作历史，可以用这个方法来监测系统的安全性。

root@zsc6:[/tmp/dbasky/root]ls
10.1.80.47 dbasky.2013-10-24_12:53:08
root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 dbasky.2013-10-24_12:53:08

㈣ 如何查看linux用户的操作记录

1、使用w命令查看登录用户正在使用的进程信息，w命令用于显示已经登录系统的用户的名称，以及他们正在做的事。该命令所使用的信息来源于/var/run/utmp文件。w命令输出的信息包括：用户名称
用户的机器名称或tty号
远程主机地址
用户登录系统的时间
空闲时间（作用不大）
附加到tty（终端）的进程所用的时间（JCPU时间）
当前进程所用时间（PCPU时间）
用户当前正在使用的命令
$ w
23:04:27 up 29 days, 7:51, 3 users, load average: 0.04, 0.06, 0.02
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
ramesh pts/0 10.1.80.56 22:57 8.00s 0.05s 0.01s sshd: ramesh [priv]
jason pts/1 10.20.48 23:01 2:53 0.01s 0.01s -bash
john pts/2 10.1.80.7 23:04 0.00s 0.00s 0.00s w

此外，可以使用who am i查看使用该命令的用户及进程，使用who查看所有登录用户进程信息，这些查看命令大同小异；
2. 在linux系统的环境下，不管是root用户还是其它的用户只有登陆系统后用进入操作我们都可以通过命令history来查看历史记录， 可是假如一台服务器多人登陆，一天因为某人误操作了删除了重要的数据。这时候通过查看历史记录（命令：history）是没有什么意义了（因为history只针对登录用户下执行有效，即使root用户也无法得到其它用户histotry历史）。那有没有什么办法实现通过记录登陆后的IP地址和某用户名所操作的历史记录呢？答案：有的。
通过在/etc/profile里面加入以下代码就可以实现：

㈤ 如何查看Linux中各个用户的历史操作命令

1、首先打开Linux直接输入一个history即可。

㈥ Linux用户命令记录

很多情况下我们需要记录用户执行过的命令，不管是root还是其他普通用户，我们可以通过以下方式来记录。

PROMPT_COMMAND会在命令执行前执行。
$(who am i |awk '{print \$2,\$5}') 会输出登录用户用的tty和登录服务器的远程电脑IP或者主机名。
$PWD 是内建变量，显示当前执行命令的工作目录。
history 1 | { read x cmd; echo ${cmd}; 会输出最后一条历史命令中的执行信息。

为了不让用户修改变量，使用 declare -rx 命令定义了只读环境变量。这里要注意使用 readonly 命令也可以定义只读变量，但是用户用env命令看不到，只有用 export PROMPT_COMMAND 命令将变量设置为环境变量后才能看到。

变量加到 /etc/bashrc 是因为用户登录后会加载这里的配置，包括 sudo sudo su sudo su - su root su - root 。如果加到其他文件里则部分命令后就不会加载变量，自行尝试。

修改rsyslog是可以自定义日志输出的文件路径和名字，用 logger -p 这个命令配合使用。

新增logrotate配置则是需要切割日志，防止单个日志文件太大，以及做好切割备份，方便查询。

【一】

在 /etc/profile 最后添加如下行，则日志会直接输出到 messages 日志里。

这种方式：不定义日志格式，直接将日志写到messages日志文件里，和其他日志放一起，但是可以指定日志标签，方便检索。
缺点是（1）会导致日志增大，并且用户提权后因-t标签的存在，导致不会记录提权前的用户。（2）不能自定义日志路径。

【二】

缺点：用户可以删除日志文件。
因为普通用户和root都要往日志文件里写，所以需要给普通用户加一个附加组；并且如果日志文件不存在，普通用户登录后也需要新建，所以普通用户必须有日志文件父目录的写权限。为了能让所有普通用户都可以写，就给Command目录加了SGID权限以及修改目录属组为audit。这样普通用户在这个目录下创建的日志文件的属组会自动继承Command目录的属组，也就是audit。 (umask 002 && touch $HISTORY_FILE) 命令则是因为root用户生成的日志文件权限是644，属组没有写权限。所以这里用 启动子shell并修改umask的方式生成日志文件。这样就不会修改root默认的 0022 的umask。
其他审计软件：
https://www.splunk.com/ 免费2个月

㈦ Linux系统下用户以及权限管理

一、操作系统中的用户管理 相关配置文件解读

Linux用户在操作系统可以进行日常管理和维护，涉及到的相关配置文件如下：

/etc/passwd 保存操作系统中的所有用户信息

root : x : 0 : 0 : root : /root : /bin/bash

name:password:UID:GID:GECOS:directory:shell

用户名 ：密码占位符 ：uid ：基本组的gid ：用户信息记录字段：用户的家目录：用户登录系统后使用的命令解析器

————————————————

字段1：用户名

字段2：密码占位符

字段3：用户的UID 0 表示超级用户 ， 500-60000 普通用户 ， 1-499 程序用户

字段4：基本组的GID 先有组才有用户

字段5：用户信息记录字段

字段6：用户的家目录

字段7：用户登录系统后使用的命令解释器

————————————————

UID：0表示超级用户， 程序用户 （1-499），普通用户 （500以上60000以下），根据uid将用户分为以上三类用户。

/etc/shw 保存用户密码（以加密形式保存）

[root@xing /]# cat /etc/shadow

root : $6$Jw5XsDvvNBH5Xoq. : 19180 : 0 : 99999 : 7 : : :

用户名：密码（加密后的字符串）：最近一次的修改时间【距离1970年1月1日的距离】：密码的最短有效期：密码的最长有效期：密码过期前7天警告：密码的不活跃期：用户的失效时间： 保留字段

————————————————

字段1：用户名

*字段2：用户的密码加密后的字符串（sha）

字段3：距离1970/1/1密码最近一次修改的时间

字段4：密码的最短有效期

*字段5：密码的最长有效期（建议时间 90）

字段6：密码过期前7天警告

字段7：密码的不活跃期

字段8：用户的失效时间

字段9：保留字段

这个字段目前没有使用，等待新功能的加入。

————————————————

/etc/group 保存组信息

————————————————

root:x:0:

bin:x:1:bin,daemon

组名：组的密码占位符：gid：附加组成员

————————————————

/etc/login.defs 用户属性限制,密码过期时间,密码最大长度等限制

/etc/default/useradd 显示或更改默认的useradd配置文件

二、文件及目录权限

文件与权限： 即文件或者目录属于哪个用户，属于哪个组，不同的用户能对该文件进行何种操作。

————————————————

注：

查看文件权限： ls -l 文件

查看目录权限 ： ls -ld 目录

————————————————

[root@xing Desktop]# ls -l /root/Desktop/

total 70584

lrwxrwxrwx. 1 root root 18 Jul 14 14:32 123.txt -> /root/Desktop/ming

-rw-r--r--. （文件属性） 1 （链接个数： 表示指向它的链接文件的个数 ） root （所属者） root （所属组） 0（文件大小：单位byte） Jul 14 14:14（最后一次修改时间） 2.txt（文件名）

drwx------.（文件属性） 7 （目录中的子目录数： 此处看到的值要减2才等于该目录下的子目录的实际个数。 ） root （所属者） root （所属组） 4096 （文件大小：单位byte）Jul 13 16:56（最后一次修改时间） vmware-tools-distrib（目录名）

[root@xing Desktop]# ls -ld /root/Desktop/

drwxr-xr-x. 3 root root 4096 Jul 14 14:44 /root/Desktop/

————————————————

文件属性解释：

- rw- r-- r-- .

d rwx r-x r-x .

字段1：文件类型 【- 普通文件 d目录 l符号链接 b块设备】

字段2：文件所有者对该文件的权限

字段3：文件所属组的权限

字段4：其他用户的权限（既不是文件所有者也不是文件所属组的用户）

字段5：表示文件受 selinux 的程序管理

8进制赋权法： r 【100】4； w【010】2； x【001】1

————————————————

三、用户以及权限管理命令汇总：

————————————————

用户增删改命令

useradd

userdel

usermod

————————————————

用户组增删改命令

groupadd

groupdel

groupmod

————————————————

passwd

change

————————————————

文件权限修改: chmod命令

chmod 对象 算数运算符 权限 文件

[root@xing tmp]# ls -ld ming

drwxr-xr-x. 2 root root 4096 Jul 16 10:27 ming

[root@xing tmp]# chmod o-x ming

[root@xing tmp]# ls -ld ming

drwxr-xr--. 2 root root 4096 Jul 16 10:27 ming

————————————————

文件所属者修改：

chown 用户 文件

[root@xing tmp]# chown ming ming

[root@xing tmp]# ls -ld ming

drwxr-xr--. 2 ming root 4096 Jul 16 10:27 ming

————————————————

文件所属组修改：

chgrp 组 文件

[root@xing tmp]# chgrp ming ming

[root@xing tmp]# ls -ld ming

drwxr-xr--. 2 ming ming 4096 Jul 16 10:27 ming

————————————————

8进制赋权法

[root@xing ~]# chmod 644 /tmp/ming

[root@xing ~]# ls -ld /tmp/ming

drw-r--r--. 2 ming ming 4096 Jul 16 10:27 /tmp/ming

————————————————

linux下命令“ll”是“ls -l"的别名。

————————————————

粘滞位：赋权后的文件 只有建立者可以删除

chmod o+t 文件

[root@xing ~]# chmod o+t /tmp/ming

[root@xing ~]# ll -d /tmp/ming

drw-r--r-T . 2 ming ming 4096 Jul 16 10:27 /tmp/ming

————————————————

sgid ： 赋权后的目录，新建立的文件或者子目录的所属组继承父目录的所属组

chmod g+s 目录

[root@xing ming]# chmod g+s /tmp/ming

[root@xing tmp]# ll

drw-r-Sr-T. 2 ming ming 4096 Jul 16 11:29 ming

[root@xing ming]# touch 20.txt

[root@xing ming]# ll

-rw-r--r--. 1 root ming 0 Jul 16 11:33 20.txt

[root@xing ming]# mkdir 60

[root@xing ming]# ll

drwxr-sr-x. 2 root ming 4096 Jul 16 11:34 60

————————————————

suid ：允许谁运行该文件具有该文件所属者的权限

chmod u+s 文件

[root@xing Desktop]# ll /usr/bin/vim

-rwxr-xr-x. 1 root root 2324712 Dec 22 2016 /usr/bin/vim

[root@xing Desktop]# chmod u+s /usr/bin/vim

[root@xing Desktop]# ll /usr/bin/vim

-rwsr-xr-x. 1 root root 2324712 Dec 22 2016 /usr/bin/vim

备注：linux 红底白字代表警告！

————————————————

[root@xing Desktop]# echo $PATH

/usr/lib64/qt-3.3/bin:/usr/local/sbin:/usr/sbin:/sbin:/usr/local/bin:/usr/bin:/bin:/root/bin

suid：4 sgid：2 粘滞位：1

[root@xing Desktop]# find /usr/bin -perm 4 755

/usr/bin/at

/usr/bin/chage

/usr/bin/pkexec

/usr/bin/Xorg

/usr/bin/crontab

/usr/bin/newgrp

/usr/bin/vim

/usr/bin/gpasswd

/usr/bin/passwd

/usr/bin/ksu

————————————————

1、不再允许添加新用户的请求

chattr命令 ：用于改变文件属性

chattr +i 文件

lsttr命令 ：查看文件属性

lsattr 文件

[root@xing Desktop]# lsattr /etc/passwd /etc/shadow

-------------e- /etc/passwd

-------------e- /etc/shadow

[root@xing Desktop]# chattr +i /etc/passwd /etc/shadow

[root@xing Desktop]# lsattr /etc/passwd /etc/shadow

----i--------e- /etc/passwd

----i--------e- /etc/shadow

[root@xing Desktop]# useradd kk

useradd: cannot open /etc/passwd

2、umask

root用户的umask默认值是0022，一般用户默认是0002

目录的最高权限 0777-0022=0755

文件的最高权限 0666-0022=644

一般服务器配置umask的值配置为027最好；需要去修改两处文件中的umask值。

/etc/profile

/etc/bashrc

3、修改默认的密码最长有效期：修改以下配置文件

/etc/login.defs