1、前言
我们在实际工作当中,都碰到过误操作、误删除、误修改过配置文件等等事件。对于没有堡垒机的公司来说,要在linux系统上深究到底谁做过配置文件的修改、做过误删除是很头疼的事情,特别是遇到删库跑路的事件,更头大了。当然你可以通过history来查看历史命令记录,如果把history记录涂抹掉了,是不是啥也看不到了,如果你想查看在某个时间段到底是谁通过vim编辑过某个文件呢?
那么,有什么办法可以看见这些操作呢,答案是一定有的,具体怎么实现呢,linux script命令正有如此强大的功能,可以满足我们的需求,script可以记录终端会话,只要是linux6.3以上的系统,都会自带script命令,下面我用centos 7系统来测试一下。
2、配置
2.1 验证script命令(我这里是有的)
[[email protected] ~]# which script /usr/bin/script
2.2 配置profile文件,在末尾添加如下内容:
[[email protected] ~]# vim /etc/profile if [ $UID -ge 0 ]; then exec /usr/bin/script -t 2>/var/log/script/$USER-$UID-`date +%Y%m%d%H%M`.date -a -f -q /var/log/script/$USER-$UID-`date +%Y%m%d%H%M`.log fi
参数:
-t 指明输出录制的时间数据
-f 如果需要在输出到日志文件的同时,也可以查看日志文件的内容,可以使用 -f 参数。PS:可以用于教学,两个命令行接-f可以实时演示
-a 输出录制的文件,在现有内容上追加新的内容
-q 可以使script命令以静默模式运行
如下图所示:
说明:
用户登录执行的操作都会记录到/var/log/script/*.log 里(保存日志的目录根据你自己定义),我们可以通过more、vi等命令查看目录里的日志。
注意:
- 我这里把用户ID大于0的都记录下来了,你可以重新登录用户,随便操作一些命令,查看生成的文件。
- root用户的ID为0,新建普通用户的UID是从500开始的(通过cat /etc/password可以查看用户的UID),如果你不想记录root用户的操作,你把if里面的值改成500: if [ $UID - ge 500 ];
2.3 创建目录、赋予权限
你是不是以为写了这条if语句在/etc/profile文件中就完事了,目录都没创建呢:
[[email protected] ~]# mkdir /var/log/script #最好给个777的权限,我用744的权限反正也生效 [[email protected] ~]# chmod 777 /var/log/script/
2.4 使环境生效
[[email protected] ~]# source /etc/profile
3、验证
好了,你可以退出linux终端,在重新登录一下,然后随便敲几个命令来看看。
[[email protected] ~]# cd /var/log/script/ [[email protected] script]# ll total 16 -rw-r--r-- 1 root root 68 Dec 22 15:46 root-0-201712221545.date -rw-r--r-- 1 root root 111 Dec 22 15:46 root-0-201712221545.log -rw-r--r-- 1 root root 0 Dec 22 15:46 root-0-201712221546.date -rw-r--r-- 1 root root 5693 Dec 22 15:46 root-0-201712221546.log
从上图可以看到,在/var/log/script目录中,已经产生了log和data为后缀的文件,并且还看到了root用户和UID号0。
.log:记录了操作
.data:可以回放操作
我们用scriptreplay来回放一下操作,看下效果如保:
[[email protected] script]# scriptreplay root-0-201712221545.date root-0-201712221545.log
注意:先指定“时间文件 .data”,然后是“命令文件 .log”,不要颠倒了。
以上就完也了记录用户的所有操作,并且还可以随时查看,相当于有回放功能,像录像一样,以后定位是谁的问题就好找原因了。