抓贼小脚本
来源
处于对服务器安全的现实考虑,检测每个用户在哪个时间从哪个IP登陆服务器执行了什么命令成为了当下处理权限混乱的最佳路径。
核心代码
在/etc/profile里面加入以下代码
PS1="`whoami`@`hostname`:"'[$PWD]'
history
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/login_data ]
then
mkdir /tmp/login_data
chmod 700 /tmp/login_data
fi
if [ ! -d /tmp/login_data/${LOGNAME} ]
then
mkdir /tmp/login_data/${LOGNAME}
chmod 700 /tmp/login_data/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
export HISTFILE="/tmp/login_data/${LOGNAME}/${USER_IP} login_data.$DT"
chmod 700 /tmp/login_data/${LOGNAME}/*login_data* 2>/dev/null
source /etc/profile 使脚本生效,退出用户,重新登录
daemon案例
# echo "I love You"
I love You
# cd /tmp/login_data/root/
# ll
-rwx------ 1 root root 162 Aug 28 11:03 113.68.109.67 login_data.2020-08-28_11:02:03
# cat 113.68.109.67\ login_data.2020-08-28_11\:02\:03
echo "I love You"
🆗!
过手如登山,一步一重天
