注,如用户的shell是/bin/sh,需要将其修改为/bin/bash!! usermod -s /bin/bash 用户名
kali Linux系统对应的配置文件是/etc/bash.bashrc,不同发行版本可能不同
步骤一:vi /etc/bashrc 增加如下:
HISTFILESIZE=2000
HISTSIZE=2000
HISTTIMEFORMAT="%Y%m%d-%H%M%S: "
export HISTTIMEFORMAT
#export PROMPT_COMMAND=‘{ command=$(history 1 | { read x y; echo $y; }); logger -p local1.notice -t bash -i "user=$USER,ppid=$PPID,from=$SSH_CLIENT,pwd=$PWD,command:$command"; }‘
export PROMPT_COMMAND=‘{ ip=$(who -u am i | { read x y z a b c d ; echo $d; });command=$(history 1 | { read x y; echo $y; }); logger -p local1.notice -t bash -i "user=$USER,ppid=$PPID,from=$ip,pwd=$PWD,command:$command"; }‘
步骤二:修改/etc/syslog.conf 或/etc/rsyslog.conf 增加local1.notice @syslog主机地址 或*.* @syslog主机地址。重启syslog 服务
步骤三:退出当前shell,再次登陆即可记录。
目前可实现的效果:
1.所有的指令不管错误与否均可记录。且包含源IP(本地登陆除外)、当前目录
2.所有可登陆bash的用户指令均可记录。且包含源IP(本地登陆除外)、当前目录
目前测试了两种系统Redhat 及Centos,版本信息如下:
1.Read hat: Red Hat Enterprise Linux Server release 6.0 (Santiago)
内核:2.6.32-71.el6.i686 bash版本:GNU bash, version 4.1.2(1)-release (i386-redhat-linux-gnu)
2.Centos : CentOS release 5.4 (Final) 内核:2.6.18-164.el5 bash 版本:GNU bash, version 3.2.25(1)-release (i686-redhat-linux-gnu)
样本:
bash[4463]: user=soc,ppid=4437,from=10.70.20.20 4763 22,pwd=/root,command:20150112-193253: uname -a
|