如何用 Shell 轻松搞定 Linux 命令审计-linux ls命令
如何用 Shell 轻松搞定 Linux 命令审计
作者:Link Ma 2022-09-29 10:51:18系统 Linux 利用定制 Bash 源增加日志审计功能,并将用户操作发给 rsyslog 聚合,最后在 elasticsearch 做日志存储和查询。首先,当谈到 Linux 的操作审计需求时,大多数我们希望的是还原线上服务器被人为(误)操作时执行的命令行,以及它关联的上下文。这个需求场景其实跟通用的业务日志采集一致,简单一点可以直接通过 history 将内容发给 syslog,复杂一点的采用 auditd 或 ebpf 在内核层面上捕获行为。
不过本文不打算对上述的方案做原理解释,仅仅站在一个运维小白的角度来完成日常 80%(80%的数据来源?我也不知道,大概是二八原则)的操作审计 。既然文章标题是用 Shell 来完成, 由此可见今天的主题跟 Bash 脱不了关系了。
一句话概括今天的主题:利用定制 Bash 源增加日志审计功能,并将用户操作发给 rsyslog 聚合,最后在 elasticsearch 做日志存储和查询。
Linux 部分
准备一些必要的工具 rsyslog: 一个Linux上自带并兼容 syslog 语法的日志处理服务 jq: 一个在 shell 下处理 json 数据的小工具 logger: 一个可以往 syslog 输入日志的工具 这些小工具除 jq 外,大多操作系统发行版都自带,如果没有的话也可以直接用操作系统内置的包管理工具安装。ash.audit.sh,并将其拷贝到 /etc/profile.d/ 目录下if [ "${SHELL##*/}" != "bash" ]; thenreturnfiif [ "${AUDIT_READY}" = "yes" ]; thenreturnfideclare -rx HISTFILE="$HOME/.bash_historydeclare -rx HISTSIZE=500000declare -rx HISTFILESIZE=500000declare -rx HISTCONTROL=""declare -rx HISTIGNORE=""declare -rx HISTCMDdeclare -rx AUDIT_READY="yes"shopt -s histappendshopt -s cmdhistshopt -s histverifyif shopt -q login_shell && [ -t 0 ]; thenstty -ixonfiif groups | grep -q root; thendeclare -x TMOUT=86400# chattr +a "$HISTFILE"fideclare -a LOGIN_INFO=( $(who -mu | awk '{print $1,$2,$6}') )declare -rx AUDIT_LOGINUSER="${LOGIN_INFO[0]}"declare -rx AUDIT_LOGINPID="${LOGIN_INFO[2]}"declare -rx AUDIT_USER="$USER"declare -rx AUDIT_PID="$$"declare -rx AUDIT_TTY="${LOGIN_INFO[1]}"declare -rx AUDIT_SSH="$([ -n "$SSH_CONNECTION" ] && echo "$SSH_CONNECTION" | awk '{print $1":"$2"->"$3":"$4}')"declare -rx AUDIT_STR="$AUDIT_LOGINUSER$AUDIT_LOGINPID$AUDIT_TTY$AUDIT_SSH"declare -rx AUDIT_TAG=$(echo -n $AUDIT_STR | sha1sum |cut -c1-12)declare -x AUDIT_LASTHISTLINE=""set +o functraceshopt -s extglobfunction AUDIT_DEBUG() {if [ -z "$AUDIT_LASTHISTLINE" ]; thenlocal AUDIT_CMD="$(fc -l -1 -1)"AUDIT_LASTHISTLINE="${AUDIT_CMD%%+([^ 0-9])*}"elseAUDIT_LASTHISTLINE="$AUDIT_HISTLINE"filocal AUDIT_CMD="$(history 1)"AUDIT_HISTLINE="${AUDIT_CMD%%+([^ 0-9])*}"if [ "${AUDIT_HISTLINE:-0}" -ne "${AUDIT_LASTHISTLINE:-0}" ] || [ "${AUDIT_HISTLINE:-0}" -eq "1" ]; thenMESSAGE=$(jq -c -n \ --arg pwd "$PWD" \ --arg cmd "${AUDIT_CMD##*( )?(+([0-9])?(\*)+( ))}" \ --arg user "$AUDIT_LOGINUSER" \ --arg become "$AUDIT_USER" \ --arg pid "$AUDIT_PID" \ --arg info "${AUDIT_STR}" \ '{cmd: $cmd, user: $user, become: $become, pid: $pid, pwd: $pwd, info: $info}')logger -p local6.info -t "$AUDIT_TAG" "@cee: $MESSAGE"fi}function AUDIT_EXIT() {local AUDIT_STATUS="$?"if [ -n "$AUDIT_TTY" ]; thenMESSAGE_CLOSED=$(jq -c -n \--arg action "session closed" \--arg user "$AUDIT_LOGINUSER" \--arg become "$AUDIT_USER" \--arg pid "$AUDIT_PID" \--arg info "${AUDIT_STR}" \'{user: $user, become: $become, pid: $pid, action: $action, info: $info}')logger -p local6.info -t "$AUDIT_TAG" "@cee: $MESSAGE_CLOSED"fiexit "$AUDIT_STATUS"}declare -frx +t AUDIT_DEBUGdeclare -frx +t AUDIT_EXITif [ -n "$AUDIT_TTY" ]; thenMESSAGE_OPENED=$(jq -c -n \--arg action "session opened" \--arg user "$AUDIT_LOGINUSER" \--arg become "$AUDIT_USER" \--arg pid "$AUDIT_PID" \--arg info "${AUDIT_STR}" \'{user: $user, become: $become, pid: $pid, action: $action, info: $info}')logger -p local6.info -t "$AUDIT_TAG" "@cee: $MESSAGE_OPENED"fideclare -rx PROMPT_COMMAND="[ -n "$AUDIT_DONE" ] && echo ''; AUDIT_DONE=; trap 'AUDIT_DEBUG && AUDIT_DONE=1; trap DEBUG' DEBUGdeclare -rx BASH_COMMANDdeclare -rx SHELLOPTtrap AUDIT_EXIT EXIT简单说明下这个脚本,大致就是定义了 shell 的历史条目、登录超时时间、以及审计日志的格式和发送。
配置rsyslog 客户端,本地创建一个 /etc/rsyslog.d/40-audit.conf 文件,用于将本地local6级别的系统日志发送远端的rsyslog服务集中处理$RepeatedMsgReduction offlocal6.info @<>:514& stop配置完成后,别忘了重启下 rsyslog 服务!数据部分
数据部分顾名思义,用于接收并处理客户端发来的操作系统日志。这里我们用到了 rsyslog 和 elasticsearch 两个服务了。
准备rsyslog-elasticsearch要让 rsyslog 将日志发送给 elastichsearch,我们就必须安装它的 es 模块
# Ubuntuapt-get install -y rsyslog-elasticsearch rsyslog-mmjsonparse#CentOSyum install rsyslog-elasticsearch rsyslog-mmjsonparse准备 ElasticSearch 服务为了简单部署,本文直接用 docker 快速拉起一个 ES 服务
docker run -d --name elasticsearch-p 9200:9200 -p 9300:9300 -e "discovery.type=single-node" elasticsearch:7.3.1配置 rsyslog 服务端,创建一个文件 /etc/rsyslog.d/40-audit-server.conf,用于定义日志的写入策略。$RepeatedMsgReduction off$ModLoad imudp$UDPServerRun 514module(load="mmjsonparse")# for parsing CEE-enhanced syslog messagesmodule(load="omelasticsearch")# for outputting to Elasticsearch#try to parse a structured log# this is for index names to be like: rsyslog-YYYY.MM.DDtemplate(name="rsyslog-index" type="string" string="bashaudit-%$YEAR%.%$MONTH%.%$DAY%")# this is for formatting our syslog in JSON with @timestamptemplate(name="json-syslog" type="list") {constant(value="{")constant(value="\"@timestamp\":\"") property(name="timegenerated" dateFormat="rfc3339" date.inUTC="on")constant(value="\",\"host\":\"")property(name="fromhost-ip")constant(value="\",\"severity\":\"")property(name="syslogseverity-text")constant(value="\",\"facility\":\"")property(name="syslogfacility-text")constant(value="\",\"program\":\"") property(name="programname")constant(value="\",\"tag\":\"") property(name="syslogtag" format="json")constant(value="\",") property(name="$!all-json" position.from="2")# closing brace is in all-json}if ($syslogfacility-text == 'local6' and $syslogseverity-text == 'info') then { action(type="mmjsonparse") action(type="omelasticsearch" template="json-syslog" searchIndex="rsyslog-index" dynSearchIndex="on" server="这里采用了 rsyslog 的两个 module 来处理收集的日志
mmjsonparse用于 json 格式化日志 omelasticsearch用于配置 ElastichSearch 配置完成重启 rsyslog 服务查询部分
审计日志的查询我们可以使用 Kibana 或者自己根据 ElasticSearch API 进行二次开发。这里我们以 Kibana 举例。
cat<< EOF > ./kibana.ymlserver.port: 15601elasticsearch.hosts: ["http://本地访问http://localhost:15601进入 kibana 配置创建一个名为 bashaudit 的索引模式
之后,我们就能进入 Discover 中查询审计日志了,包含了基本Shell执行时间、来源用户、执行目录等数据。
再进一步,我们也可以通过调用 API 的方式对审计日志做一些额外的二次开发,例如:
对线上服务器热点用户统计 对线上服务器做热点操作统计 对线上危险Shell 操作做告警总结
本文讲述了采用定制 Bash 的方式,在用户登录初始化 Shell 的方式将其后续的命令行操作发送给 rsyslog 服务进行处理,并将格式化后的日志存储在 ElasticSearch 中方便辅助系统管理者在线上故障定位时使用,也可以依此对 Linux命令行审计做可视化的二次开发。
不过本文基于定制 Bash 的方式仍然具备很多局限性,例如:
不能审计 ShellScript 内的执行逻辑; 存在用其他 shell 绕过审计,如 zsh 等;可以看到要想审计到更详细的内容,光在 Bash(表面功夫)上实现并不能满足,读者可以尝试使用snoopy 对 Shell 脚本内部做跟踪审计。
责任编辑:庞桂玉 来源:奇妙的Linux世界 ShellLinux命令审计推荐系统
微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载
语言:中文版系统大小:5.13GB系统类型:Win11微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Win11 64位 Office办公版(免费)优化 1、保留 Edge浏览器。 2、隐藏“操作中心”托盘图标。 3、保留常用组件(微软商店,计算器,图片查看器等)。 5、关闭天气资讯。
Win11 21H2 官方正式版下载_Win11 21H2最新系统免激活下载
语言:中文版系统大小:4.75GB系统类型:Win11Ghost Win11 21H2是微软在系统方面技术积累雄厚深耕多年,Ghost Win11 21H2系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Ghost Win11 21H2是微软最新发布的KB5019961补丁升级而来的最新版的21H2系统,以Windows 11 21H2 22000 1219 专业版为基础进行优化,保持原汁原味,系统流畅稳定,保留常用组件
windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载
语言:中文版系统大小:5.31GB系统类型:Win11windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载,微软win11发布快大半年了,其中做了很多次补丁和修复一些BUG,比之前的版本有一些功能上的调整,目前已经升级到最新版本的镜像系统,并且优化了自动激活,永久使用。windows11中文版镜像国内镜像下载地址微软windows11正式版镜像 介绍:1、对函数算法进行了一定程度的简化和优化
微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载
语言:中文版系统大小:5.31GB系统类型:Win11微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载,微软2022年正式推出了win11系统,很多人迫不及待的要体验,本站提供了最新版的微软Windows11正式版系统下载,微软windows11正式版镜像 是一款功能超级强大的装机系统,是微软方面全新推出的装机系统,这款系统可以通过pe直接的完成安装,对此系统感兴趣,想要使用的用户们就快来下载
微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件
语言:中文版系统大小:0MB系统类型:Win11微软Ghost win11 正式版镜像文件是一款由微软方面推出的优秀全新装机系统,这款系统的新功能非常多,用户们能够在这里体验到最富有人性化的设计等,且全新的柔软界面,看起来非常的舒服~微软Ghost win11 正式版镜像文件介绍:1、与各种硬件设备兼容。 更好地完成用户安装并有效地使用。2、稳定使用蓝屏,系统不再兼容,更能享受无缝的系统服务。3、为
雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载
语言:中文版系统大小:4.75GB系统类型:雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的雨林木风品牌,其系统口碑得到许多人认可,积累了广大的用户群体,雨林木风是一款稳定流畅的系统,一直以来都以用户为中心,是由雨林木风团队推出的Windows11国内镜像版,基于国内用户的习惯,做了系统性能的优化,采用了新的系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载
语言:中文版系统大小:3.91GB系统类型:Win7欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统
相关文章
- 怎样使用XP玩Win7扫雷?
- win7 64位旗舰版的三种windows系统账户类型
- QQ影音播放痕迹怎么清理?播放痕迹清除方法简述
- Win10系统玩CF不能全屏如何解决
- teamviewer如何转为永久,本文教您如何设置
- 无线鼠标接收器坏了怎样办?
- 虾米音乐在哪里玩领养虾米?虾米音乐领养虾米的步骤
- Win8鼠标不能拖拽文件怎么办?Win8鼠标不能拖拽文件的解决方法
- WinXP页面提示Sysfader iexplore.exe应用程序出错的处理办法
- 剪映Windows专业版媒体素材丢失怎么恢复?
- 安装win7系统华硕win7重装系统后鼠标键盘不能用之后键盘鼠标不能用 完美解决方法
- WinXP如何查看全部端口与指定端口
- (图)将个人微信上的视频添加到微信公众号的办法_微信
- 系统之家win8 64位旗舰版系统下载
- Thinkpad怎么升级Win11 Thinkpad笔记本升级Win11系统教程
- 系统之家win7 32位旗舰版最新系统推荐
- 分享创建好友快捷方式的好办法_腾讯QQ
- 20167夕在支付宝发啥会下表情雨?7夕撩妹向导_微信
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1新萝卜家园 GhostWin7 SP1 电脑城极速稳定版2021年3月(32位) ISO镜像高速下载
- 2番茄花园Ghost Win10 珍藏纯净版x64 v2023.01最新下载
- 3GHOST WIN8.1 64位优化通用版 V2023.10 下载
- 4青苹果系统Ghost Win10专业版下载_青苹果Win10 64位永久激活版下载V2021.05
- 5宏基笔记本Win7系统下载_Acer OEM Windows7 X64原版旗舰版下载
- 6深度技术GHOST WIN7 完美装机版X64位 v2020.02最新免费下载
- 7系统之家Ghost win11 64位 旗舰版 v2023.09最新下载
- 8电脑公司 GhostXpSp3 新春特别 电脑城装机版 2020年2月 ISO镜像高速下载
- 9惠普 GHOST XP SP3 笔记本专用版 V2023.03 下载
- 10雨林木风 WIN7 64位经典旗舰版 V2023.09 下载