在linux系統的環境下,由於可以多用戶進行登錄,有時候會出現一些混亂,有時候會誤刪一些數據,如果想查出惡意進攻的用戶及IP地址,這就需要我們對遠程連接的用戶進行監控。下面給出具體實現方法。
通過在/etc/profile裏面加入以下代碼就可以實現:
#PS1就是用來設置命令提示符的環境變量
PS1="`whoami`@`hostname`:"'[$PWD]'
#history
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/loghistory ]
then
mkdir /tmp/loghistory
chmod 777 /tmp/loghistory
fi
if [ ! -d /tmp/loghistory/${LOGNAME} ]
then
mkdir /tmp/loghistory/${LOGNAME}
chmod 300 /tmp/loghistory/${LOGNAME}
fi
# 保存歷史命令條數
export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
# 設置保存歷史命令的文件
export HISTFILE="/tmp/loghistory/${LOGNAME}/${USER_IP}.loghistory.$DT"
chmod 600 /tmp/loghistory/${LOGNAME}/*loghistory* 2>/dev/null
source /etc/profile 使用腳本生效
退出用戶,重新登錄(註銷)
查看命令記錄(本地:0.)
cd /tmp/whodone/
清理180天history
vi clear_history.sh
#!/bin/bash
var=/tmp/whodone/
cd $var
user=`ls $var`
for i in ${user};
do
cd $var$i
find . -name *done* -mtime +180 | xargs rm -rf
done
exit 0