shell脚本自动记录登陆后的IP地址和历史记录

转载 http://ruilinux.blog.51cto.com/4265949/845405

今天一台线上的服务器不知道被哪个活宝执行了chmod -R 700 /home，造成了文件权限不对，密钥认证就读不到密钥了，所有人账户都登陆不上服务器了。排查了一下原因，排除了安全问题。那剩下的就是同事的误操作了。但是！！！！ chmod -R 执行这个可是很让人怀疑的！！！于是报着试一试的心态去last ,然后history。其实这时候通过查看历史记录查是没有什么意义了。笨蛋执行了命令之后还留着，肯定history -c 了、果然，全部查完了，依然不知道没有查出来是谁，有几个人历史命令就几条，这种也没法问，问也白问。

算了，这次反正没有丢什么重要的数据，服务器也没什么事情。饶恕了这个大神吧。但是，万一下次又有人误操作了怎么办，有一天因为某人误操作了删除了重要的数据怎么办..

现在从两个方面入手，第一服务器安装第三方记录工具，可以记录登陆的每个用户操作的日志，第二结合行政手段，最好有相关的规章制度，如果你是运维部的老大，可以定下。有奖有法。起到一个警示的作用。

查阅了下相关资料，还是下面这个方法好：

标题：在/etc/profile中写一个shell脚本来记录登陆后的IP地址和某用户名所操作的历史记录！！！

PS1="`whoami`@`hostname`:"'[$PWD]' (Linux系统提示符是用系统变量PS1来定义的)
history
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` (who -u am i 会显示系统中登陆进来的用户及登陆从哪个IP登陆进来的，这里后面过滤了就取值一个登陆进来的IP)
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/ruige ]
then
mkdir /tmp/ruige
chmod 777 /tmp/ruige
fi
if [ ! -d /tmp/ruige/${LOGNAME} ]
then
mkdir /tmp/ruige/${LOGNAME}
chmod 300 /tmp/ruige/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date '+%Y:%m:%d %r'`
export HISTFILE="/tmp/ruige/${LOGNAME}/${USER_IP} ruige.$DT"
chmod 600 /tmp/ruige/${LOGNAME}/*ruige* 2>/dev/null

会在系统的/tmp新建个ruige目录，在目录中记录了所有的登陆过系统的用户和IP地址，还有历史命令！我们还可以用这个方法来监测系统的安全性。

注意：最好再给ruige这个目录建议你加个t位！！

chmod o+t ruige 或者chmod o+t ruige

补充知识点：

一：linux系统中who am i 和whoami的区别！

　　who am i 显示的是实际用户ID即用户登陆的时候的用户ID!!
　　whoami 显示的是有效用户ID.!!!

但在大多数情况下，实际用户ID和有效用户ID是一致的。

　　如
　　login:root

　　Pssword:
　　$who am i
　　root pts/0 2007-08-16 13:16 (:0.0)
　　$whoami
　　root

　　当切换用户后：
　　su tongrui
　　#who am i
　　root pts/0 007-08-16 13:16 (:0.0)
　　#whoami
　　tongrui

　　也可以说who am i 显示的是切换用户前的实际登陆的用户ID,whoami是切换后的有效的用户ID，此时此终端具有切换后用户的访问权限，如本文中切换后则具有超级用户的访问权限。

who am i 和whoami有何区别？

首先要说明uid和euid（effective user id）的区别。uid就是你login的时候使用的id，而euid则是你当前的有效id。因为登录后我们可以使用su切换用户身份，所以uid和euid可能是不同的，程序在运行的时候一般看的都是euid，当然也有特出的，who am i就是一个。

举个例子：用户用root登陆，使用su变成tongrui，用who am i看到的是root，使用whoami命令看到的是tongrui。

who am i与whoami的区别:
1.whoami显示effective current username(即通过su username1之后,
显示的是username1);
2.who am i显示的是original username(即在使用su命令之前的username).

转载于:https://blog.51cto.com/kexl908/883860

shell脚本自动记录登陆后的IP地址和历史记录相关推荐

centos7 shell 获取ip_Linux Shell脚本中获取本机ip地址方法
方法一:ifconfig -a ifconfig -a|grep inet|grep -v 127.0.0.1|grep -v inet6|awk '{print $2}'|tr -d "a ...
Shell脚本中获取本机ip地址，Linux获取本地ip地址
在 Shell 脚本中获取本机 IP 地址可以通过多种方式实现,这里介绍三种常用的方法: 1. 使用 ifconfig 命令获取本机 IP 地址 ifconfig 命令可以获取本机网卡的配置信息,包括 ...
编写一个shell脚本程序，检测指定IP地址的主机是否在线
编写一个脚本程序,检测指定IP地址的主机是否在线,如果在线则显示输出Online,否则输出Offline checkhost.sh [root@exam ~]# cd scripts [root@ex ...
Shell脚本中获取本机ip地址
1.单网卡方法1: #!/bin/sh local_ip=`ifconfig -a|grep inet|grep -v 127.0.0.1|grep -v inet6|awk '{print $2} ...
shell脚本实现批量解析域名IP地址（支持多DNS）
脚本介绍多DNS解析(目前支持最多3个目标DNS服务器) 支持解析域名的A记录和CNAME记录自定义DNS,内网DNS服务器,或公网DNS 多域名同时从目标DNS解析记录(脚本从文本读取域名列表) ...
Linux的shell脚本实战之检查主机IP是否存在
Linux的shell脚本实战之检查主机IP是否存在一.目的及要求二.脚本内容二.运行结果一.目的及要求二.脚本内容二.运行结果一.目的及要求检查 192.168.200.130~14 ...
php shell地址,运用Shell 命令行获得本机IP地址
运用Shell 命令行获得本机IP地址在 mac 下面输入 ifconfig 或者在 linux 下面输入 ip a 就可以得到我们的网卡信息.不过通常情况下,我们需要查看的是我们的IP地址,不需要 ...
编写shell脚本扫描出局域网所有ip设备的mac地址
用linux四剑客和arping编写shell脚本,实现扫描出局域网所有ip设备的mac地址: 1.你要安装了arping 2.要有ifconfig命令(manjaro就没有,manjaro是ip a ...
linux shell 自动应答y,Shell脚本SSH登陆自动应答
Expect解释器协助Shell脚本实现SSH登陆自动应答,需要安装expect解释器来解释该脚本.只写了密码登陆方式自动应答,该脚本不支持密钥登陆自动应答 #!/usr/bin/expect -f ...

shell脚本自动记录登陆后的IP地址和历史记录

shell脚本自动记录登陆后的IP地址和历史记录相关推荐

最新文章

热门文章

shell脚本自动记录登陆后 的IP地址和历史记录

shell脚本自动记录登陆后 的IP地址和历史记录相关推荐

最新文章

热门文章

shell脚本自动记录登陆后的IP地址和历史记录

shell脚本自动记录登陆后的IP地址和历史记录相关推荐