资讯

精准传达 • 有效沟通

从品牌网站建设到网络营销策划,从策略到执行的一站式服务

linux用户命令记录 linux查看用户使用记录

2019-02-01 Linux查看用户/历史命令

1、当前登录用户信息

成都创新互联公司-专业网站定制、快速模板网站建设、高性价比黄石网站开发、企业建站全套包干低至880元,成熟完善的模板库,直接使用。一站式黄石网站制作公司更省心,省钱,快速模板网站建设找我们,业务覆盖黄石地区。费用合理售后完善,十余年实体公司更值得信赖。

who:

用户名、终端类型、登陆日期以及远程主机地址。

who /var/log/wtmp

可以查看自从wtmp文件创建以来的每一次登陆情况

-H:打印每列的标题

users命令: 打印当前登录的用户,从上面可以看到我自己从不同主机同时登录,所以下面显示2次。

2、查看命令历史

每个用户的命令历史记录保存在 ~/.bash_history 文件里,

或者在终端输入: history

要想再执行哪条,使用 !96 重新执行该条命令。

3、last命令查看用户登录历史

此命令会读取 /var/log/wtmp文件;/var/log/btmp可以显示远程登陆信息。

last默认打印所有用户的登陆信息。

如果想打印某个用户的登陆信息,可以使用

last 用户名

一些选项:

(1)-x:显示系统开关机以及执行等级信息

(2)-a:将登陆ip显示在最后一行

(3)-d:将IP地址转换为主机名

(4)-t:查看指定时间的用户登录历史

例如: 查看axing在

axing@ax:~$ last axing -a -t 20190201160000

4、lastlog命令查看所有用户最近一次登录历史

读取/var/log/lastlog文件;用户排列顺序按照/etc/passwd中的顺序

一些选项:

(1) -u:查看某用户的最后一次登录记录

比如: lastlog -u axing

(2) -t:查看最近几天之内的用户登录历史

比如: lastlog -t 1

查看最近1天之内的登陆历史

(3) -b:查看指定天数之前的用户登录历史

例如: lastlog -b 60

查看60天之前的用户登录历史

5、ac命令

根据/var/log/wtmp文件中的登陆和退出时间报告用户连接的时间(小时),默认输出报告总时间

需要安装:

(1)-p:显示每个用户的连接时间

(2)-d:显示每天的连接时间

(3)-y:显示年份,和-d配合使用

linux所有命令都有记录吗

linux所有命令都有记录。Linux是一套免费使用和自由传播的类Unix操作系统,是一个基于POSIX和UNIX的多用户,多任务,支持多线程和多CPU的操作系统。Linux能运行主要的UNIX工具软件,应用程序和网络协议。

linux介绍

它支持32位和64位硬件,Linux继承了Unix以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统。今天各种场合都有使用各种Linux发行版,从嵌入式设备到超级计算机,并且在服务器领域确定了地位,通常服务器使用LAMP或LNMP组合。

Linux是一种自由和开放源代码的类UNIX操作系统,该操作系统的内核由林纳斯·托瓦兹在1991年10月5日首次发布,在加上用户空间的应用程序之后,成为Linux操作系统,Linux也是自由软件和开放源代码软件发展中最著名的例子。

linux查看历史命令记录及时间(linux查看历史命令执行时间)

1."linux查看历史命令,为您提供linux查看历史命令图文信息,打开linux客户端。

2.点击连接linux按钮。

3.输入用户名,主机ip地址。

4.输入密码。

5.显示连接成功,就可以进行操作。

6.输入history命令,即可返回命令的历史记录。

Linux记录用户操作命令

Linux系统会记录用户登陆系统后执行过的命令;在一定情况下,可以帮助对系统的管理。

配置参数:

HISTTIMEFORMAT = '%F %T ' #日期格式

HISTSIZE = 4000 #保留日志数量

HISTFILE = /var/history #存储文件

缺点:

1、默认的记录用户命令服务,没有记录命令执行的时间。

2、没有记录用户登陆的IP

3、同一个用户的不同会话,记录到同一个文件中;无法根据不同会话分别记录。

优化:

1、每次用户登陆后,根据用户账号、登陆IP和登陆时间确定存储文件名。这样除非同一个用户,同一个IP,同一时刻登陆服务器才会记录到同一个文件中。

2、将上述设置,配置为用户登陆后,自动执行

3、将日志写入一个隐藏目录中。

脚本内容:

将脚本放在/etc/profile.d/history.sh中。

Linux用户命令记录

很多情况下我们需要记录用户执行过的命令,不管是root还是其他普通用户,我们可以通过以下方式来记录。

PROMPT_COMMAND会在命令执行前执行。

$(who am i |awk '{print \$2,\$5}') 会输出登录用户用的tty和登录服务器的远程电脑IP或者主机名。

$PWD 是内建变量,显示当前执行命令的工作目录。

history 1 | { read x cmd; echo ${cmd}; 会输出最后一条历史命令中的执行信息。

为了不让用户修改变量,使用 declare -rx 命令定义了只读环境变量。这里要注意使用 readonly 命令也可以定义只读变量,但是用户用env命令看不到,只有用 export PROMPT_COMMAND 命令将变量设置为环境变量后才能看到。

变量加到 /etc/bashrc 是因为用户登录后会加载这里的配置,包括 sudo sudo su sudo su - su root su - root 。如果加到其他文件里则部分命令后就不会加载变量,自行尝试。

修改rsyslog是可以自定义日志输出的文件路径和名字,用 logger -p 这个命令配合使用。

新增logrotate配置则是需要切割日志,防止单个日志文件太大,以及做好切割备份,方便查询。

【一】

在 /etc/profile 最后添加如下行,则日志会直接输出到 messages 日志里。

这种方式:不定义日志格式,直接将日志写到messages日志文件里,和其他日志放一起,但是可以指定日志标签,方便检索。

缺点是(1)会导致日志增大,并且用户提权后因-t标签的存在,导致不会记录提权前的用户。(2)不能自定义日志路径。

【二】

缺点:用户可以删除日志文件。

因为普通用户和root都要往日志文件里写,所以需要给普通用户加一个附加组;并且如果日志文件不存在,普通用户登录后也需要新建,所以普通用户必须有日志文件父目录的写权限。为了能让所有普通用户都可以写,就给Command目录加了SGID权限以及修改目录属组为audit。这样普通用户在这个目录下创建的日志文件的属组会自动继承Command目录的属组,也就是audit。 (umask 002 touch $HISTORY_FILE) 命令则是因为root用户生成的日志文件权限是644,属组没有写权限。所以这里用 启动子shell并修改umask的方式生成日志文件。这样就不会修改root默认的 0022 的umask。

其他审计软件:

免费2个月

Linux下记录所有用户的操作命令,以方便后期审计

再后面追加:

保存退出后,执行 source /etc/profile 让配置生效。

所有操作命令记录存放在/var/log/cmd/{用户}/目录下,即使是同一个终端几个不同的窗口,在该窗口退出或关闭时,该用户目录下会生产一个文件,多个窗口会生产多个文件,最后只要查看这些文件内容,就可以看出历史操作了。

本文转自:


网站题目:linux用户命令记录 linux查看用户使用记录
文章来源:http://www.cdkjz.cn/article/hjejjc.html
多年建站经验

多一份参考,总有益处

联系快上网,免费获得专属《策划方案》及报价

咨询相关问题或预约面谈,可以通过以下方式与我们联系

大客户专线   成都:13518219792   座机:028-86922220