因为之前遇到过命令审计,找不出某条命令是由哪个用户执行的,所以需要让history命令显示出执行用户、执行时间、执行用户IP,以便追踪。
- 在/etc/profile文件最后加两行:
USER_IP=`who -u -m | awk ‘{print $NF}‘| sed ‘s/[()]//g‘`
export HISTTIMEFORMAT="[%F %T][`whoami`][${USER_IP}] "
- 执行命令
source /etc/profile
- 随便敲几条命令
- 查看效果
1047 [2017-03-21 15:13:25][root][192.168.233.1] history | tail -5
1048 [2017-03-21 15:17:24][root][192.168.233.1] who -u -m | awk ‘{print $NF}‘
1049 [2017-03-21 15:17:58][root][192.168.233.1] who -u -m | awk ‘{print $NF}‘| sed ‘s/[()]//g‘
1050 [2017-03-21 15:18:21][root][192.168.233.1] vim /etc/profile
1051 [2017-03-21 15:19:17][root][192.168.233.1] source /etc/profile
1052 [2017-03-21 15:19:22][root][192.168.233.1] a
1053 [2017-03-21 15:19:23][root][192.168.233.1] s
1054 [2017-03-21 15:19:24][root][192.168.233.1] d
1055 [2017-03-21 15:19:25][root][192.168.233.1] f
1056 [2017-03-21 15:19:34][root][192.168.233.1] history | tail -10