BASH增加日志功能

如果工作中遇到了比较囧的情况,机器被人攻破了,黑客登录了你的系统（当然我们会尽全力防止这样的事情发生）你一定会希望系统记录下来哪个用户做过哪些操作.History功能并不能满足这个要求,黑客的智商应该会告诉他在离开的时候删除history记录（除非你遇到个菜鸟黑客）.

那么我们怎么预防呢？这里的方法是给bash来个记录日志,谁在什么时间操作了什么命令,都写到messages里面去.

下面是具体步骤：
1. 下载并打补丁
#cd /home/soft
#wget http://ftp.gnu.org/gnu/bash/bash-4.1.tar.gz
#tar zxf bash-4.1.tar.gz ; cd bash-4.1
#wget -r -nd -np http://ftp.gnu.org/gnu/bash/bash-4.1-patches/
#patch -p0 < bash41-001 全部文件都要patch一遍
2. 修改源码
这里这么做的原因是bash4.1默认在代码里面注释了log功能,并且原来记录的内容并不能满足要求,需要修改.
#vi bashhist.c 708 708行左右修改成下面内容
syslog (SYSLOG_FACILITY|SYSLOG_LEVEL, "HISTORY: PID=%d PPID=%d SID=%d User=%s CMD=%s", getpid(), getppid(), getsid(getpid()), current_user.user_name, line);
else
{
strncpy (trunc, line, SYSLOG_MAXLEN);
trunc[SYSLOG_MAXLEN - 1] = '''';
syslog (SYSLOG_FACILITY|SYSLOG_LEVEL, "HISTORY (TRUNCATED): PID=%d PPID=%d SID=%d User=%s CMD=%s", getpid(), getppid(), getsid(getpid()), current_user.user_name, trunc);
}
#vi config-top.h 取消/*#define SYSLOG_HISTORY*/这行的注释
3. 编译安装
#./configure --prefix=/usr/local/bash && make && make install
4. 测试
#vi /etc/passwd 修改一个用户的登录shell到/usr/local/bash/bin/bash
tom:x:501:501::/home/users/tom:/usr/local/bash/bin/bash
用tom用户登录并进行一些操作,之后查看messages文件,可以看到类似下面的记录：
Jan 14 13:35:15 rhel6 -bash: HISTORY: PID=15912 PPID=2161 SID=15912 User=tom CMD=cat yum.conf
5. 把日志记录的日志服务器
#vi /etc/syslog.conf 添加一行*.* @logservername
日志服务器的做法只需要在/etc/sysconfig/syslog文件中修改SYSLOGD_OPTIONS="-m -r 0"即可.

PS：此方法只针对syslog程序,RHEL6.0已更换为rsyslog具体方法还没研究.

参考链接：
http://wenku.baidu.com/view/c3bb49c58bd63186bcebbc7a.html
http://www.rsyslog.com/doc

出自：http://salogs.com/
添加了点内容

本文出自 “shark巨菜-菜园志” 博客,请务必保留此出处http://sharkyan.blog.51cto.com/536264/478386