概述

作為系統管理員，不可能總是實時去盯著誰登陸了系統，做了一些什麼操作，下面主要通過一個腳本來生成所有登錄用戶的操作歷史，從而更好的管理linux系統，看是不是有一些違規操作。

一、查看日誌文件

1、查看/var/log/wtmp文件看是否有可疑IP登陸

 last -f /var/log/wtmp

該日誌文件永久記錄每個用戶登錄、註銷及系統的啟動、停機的事件。因此隨著系統正常運行時間的增加，該文件的大小也會越來越大，

增加的速度取決於系統用戶登錄的次數。該日誌文件可以用來查看用戶的登錄記錄，

last命令就通過訪問這個文件獲得這些信息，並以反序從後向前顯示用戶的登錄記錄，last也能根據用戶、終端tty或時間顯示相應的記錄。

2、查看/var/log/secure文件尋找可疑IP登陸次數

cat /var/log/secure

二、 腳本生成所有登錄用戶的操作歷史

需求：記錄登陸後的IP地址和某用戶名所操作的歷史記錄

實現：

1、配置/etc/profile：

USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/dbasky ]
then
mkdir /tmp/dbasky
chmod -R 777 /tmp/dbasky
fi
if [ ! -d /tmp/dbasky/${LOGNAME} ]
then
mkdir /tmp/dbasky/${LOGNAME}
chmod 300 /tmp/dbasky/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP}-dbasky.$DT"
chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null

2、生效環境變量

source /etc/profile 

3、查看記錄

說明：該腳本在系統的/tmp新建個dbasky目錄，記錄所有登陸過系統的用戶和IP地址（文件名），每當用戶登錄/退出會創建相應的文件，該文件保存這段用戶登錄時期內操作歷史，可以用這個方法來監測系統的安全性。

篇幅有限，關於這方面內容就介紹到這了，大家有興趣也可以自己測試下。

後面會分享更多linux方面內容，感興趣的朋友可以關注下。

閱讀更多 波波說運維 的文章

關鍵字: 登錄 操作 腳本語言