Linux审计脚本

  • A+
所属分类:Blog Share System

有时候遇到主机上的数据莫名被rm的情况,而且还没人承认, 那么就需要在系统上加个审计记录操作日志,方便追溯。 这样锅就不用你来背了,脚本如下:

  1. cat /etc/profile
  2. PS1="`whoami`@`hostname`:"'[$PWD]'
  3. history
  4. USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
  5. if [ "$USER_IP" = "" ]
  6. then
  7. USER_IP=`hostname`
  8. fi
  9. if [ ! -d /tmp/history ]
  10. then
  11. mkdir /tmp/history
  12. chmod 777 /tmp/history
  13. fi
  14. if [ ! -d /tmp/history/${LOGNAME} ]
  15. then
  16. mkdir /tmp/history/${LOGNAME}
  17. chmod 300 /tmp/history/${LOGNAME}
  18. fi
  19. export HISTSIZE=4096
  20. DT=`date +"%Y%m%d_%H%M%S"`
  21. export HISTFILE="/tmp/history/${LOGNAME}/${USER_IP}_history.$DT"
  22. chmod 600 /tmp/history/${LOGNAME}/*history* 2>/dev/null

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: