Unix系統用戶登錄及操作命令日志配置的方法

相關推薦

　　Unix操作系統有很多值得學習的地方，Unix系統用戶登錄、操作命令日志配置方法你了解多少呢?下面是相關的知識，歡迎閱讀。

Unix系統用戶登錄及操作命令日志配置的方法

　　在SOC、審計、4A等項目中，經常需要解析 Unix系統的登錄日志，以此進行分析用戶登錄行為，特別是在4A項目中，需要判定繞過堡壘主機的登錄行為及操作。對于Unix系統來說，默認的 syslog配置并不會記錄用戶的操作過程，只有一個結果的日志。比如以下在Linux系統上添加用戶：

　　[root@RHEL2 ~]# useradd -m bashuser1

　　在系統日志里會有如下，顯示了以上命令的一個結果，但是對于命令本身是沒有日志記錄在syslog中的。

　　Feb 19 11:21:39 RHEL2 useradd[3534]: new group: name=bashuser1, GID=503

　　Feb 19 11:21:39 RHEL2 useradd[3534]: new user: name=bashuser1, UID=502, GID=503, home=/home/bashuser1, shell=/bin/bash

　　對于登錄日志，其中Linux本身提供的SSH、telnet日志，其中包含源IP、登錄帳戶等信息。但是HP-UX、Solaris、AIX提供的telnet日志是基于inetd的，日志信息中不包含登錄帳戶信息。如以下是Linux系統上telnet登錄日志：

　　Feb 19 11:11:17 RHEL2 login: pam_unix(remote:session): session opened for user root by (uid=0)

　　Feb 19 11:11:17 RHEL2 login: ROOT LOGIN ON pts/4 FROM 192.168.56.1

　　其中日志信息包含了登錄用戶，登錄IP，作為一個登錄事件解析，變量是足夠的。但是對于HP-UX、Solaris、AIX提供的telnet日志，只是一個session的建立日志，只有登錄IP，沒有登錄用戶，作為登錄事件解析就缺少了關鍵的用戶信息：

　　Feb 19 11:11:13 RHEL2 xinetd[2354]: START: telnet pid=3414 from=192.168.56.1

　　因此，本文提出一種方法，統一所有Unix系統(Linux、HP-UX、Solaris、AIX、SuSe)的登錄(ssh、telnet、rlogin)日志、操作命令日志，可以作為系統日志的有效補充。以下為配置好后的登錄日志內容：

　　<13>bashuser: class="HOST_LOGIN" type="2" time="2011-06-29 10:44:03" src_ip="192.168.14.83" dst_ip="192.168.99.243" primary_user="" secondary_user="bashuser" operation="" content="login successful" authen_status="Success" log_level="1" sessionid="12182"

　　<13>bashuser: class="HOST_COMMAND" type="3" time="2011-06-29 10:44:03" src_ip="192.168.14.83" dst_ip="192.168.100.90" primary_user="" secondary_user="bashuser" operation="uname -a" content="command" authen_status="" log_level="1" sessionid="12182"

　　日志格式說明：

　　class:HOST_LOGIN，表示主機登錄;HOST_COMMAND，表示主機操作命令;

　　time：用戶登錄主機時間;

　　src_ip：登錄源IP地址;

　　dst_ip：主機地址;

　　primary_user：主賬號，這個變量是引用堡壘主機的概念加的，在這里會永遠為空值;

　　secondary_user：從賬號，也就是主機上的賬號，也是引用堡壘主機的概念加的;

　　operation：針對HOST_COMMAND類，是實際的操作命令內容;

　　content：表示結果，如登錄成功或者命令;

　　session_id：這里引用的變量是$$變量值;

　　可以根據實際需要增加刪除修改變量內容。

　　在講實際配置前，我們大概需要了解各個UnixLinux以下方面的知識：