配置rsyslog服务并启用远程日志功能以集中记录用户登录和命令执行;2. 通过last命令和/var/log/auth.log或/secure文件监控SSH登录及认证活动;3. 安装auditd并设置审计规则追踪特定用户命令执行,使用ausearch和aureport分析行为日志;4. 在.bashrc中启用HISTTIMEFORMAT记录命令时间戳,结合script命令或tlog工具录制完整shell会话;5. 实施日志保留策略与权限控制,确保日志完整性与可追溯性。
在Linux系统中监控用户行为主要用于安全审计、故障排查或合规需求。正确配置监控既能保障系统安全,又不会过度侵犯用户隐私。关键在于记录关键操作,同时确保日志的完整性与可追溯性。
启用并配置系统日志(syslog)
大多数Linux发行版默认使用rsyslog或syslog-ng来收集系统和用户日志。通过配置这些服务,可以集中记录用户登录、命令执行等行为。
- 确保rsyslog服务正在运行:systemctl status rsyslog- 编辑配置文件 /etc/rsyslog.conf,启用远程日志功能(可选),将日志发送到中央服务器
- 添加自定义模板以增强日志格式,包含时间、主机名、用户和命令信息
记录用户登录活动
系统会自动记录用户登录登出事件,这些信息可通过特定命令查看。
- 使用 last 命令查看用户登录历史,包括终端、IP地址和时间- 查看 /var/log/auth.log(Debian/Ubuntu)或 /var/log/secure(RHEL/CentOS)中的认证日志
- 监控SSH登录尝试,识别异常访问行为
监控命令执行(使用auditd)
Linux审计系统(auditd)能追踪特定用户或进程的行为,适合精细化监控。
易优cms汽车车辆租赁源码1.7.2
下载
由于疫情等原因大家都开始习惯了通过互联网上租车服务的信息多方面,且获取方式简便,不管是婚庆用车、旅游租车、还是短租等租车业务。越来越多租车企业都开始主动把租车业务推向给潜在需求客户,所以如何设计一个租车网站,以便在同行中脱颖而出就重要了,易优cms针对租车行业市场需求、目标客户、盈利模式等,进行策划、设计、制作,建设一个符合用户与搜索引擎需求的租车网站源码。 网站首页
- 添加审计规则,例如监控某用户的命令执行:auditctl -a always,exit -F arch=b64 -S execve -F euid=1001
- 使用 ausearch 和 aureport 分析审计日志,生成行为报告
记录shell会话(使用脚本或工具)
对高权限账户(如root)的交互式操作进行完整会话记录,有助于事后审计。
- 在用户shell配置文件(如.bashrc)中启用命令历史时间戳:export HISTTIMEFORMAT="%F %T "- 使用 script 命令录制会话:script -a /var/log/user_session.log
- 部署专业工具如tlog或Shell Recorder,实现结构化会话日志管理
基本上就这些。合理设置日志保留策略,定期审查日志内容,才能真正发挥监控作用。注意权限控制,避免日志被篡改或删除。
