CN112541169A - 一种linux用户行为的本地记录方法 - Google Patents
一种linux用户行为的本地记录方法 Download PDFInfo
- Publication number
- CN112541169A CN112541169A CN202011516894.1A CN202011516894A CN112541169A CN 112541169 A CN112541169 A CN 112541169A CN 202011516894 A CN202011516894 A CN 202011516894A CN 112541169 A CN112541169 A CN 112541169A
- Authority
- CN
- China
- Prior art keywords
- user
- log
- login
- folder
- log file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
- G06F16/1805—Append-only file systems, e.g. using logs or journals to store data
- G06F16/1815—Journaling file systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Quality & Reliability (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种linux用户行为的本地记录方法,属于计算机管理技术领域,针对现有技术中仅能记录企业内部人员的操作,无法捕捉外部入侵,以及对操作系统侵入性较强,可能影响宿主操作系统的正常运行,存在不明确的兼容性、稳定性和可用性风险的问题,本发明通过修改操作系统底层配置文件的方式,以用户为维度实现了任意行为的记录,方便安全人员快速查看和分析,同时也最大程度地规避了第三方程序或组件本身的风险,实现了本地用户和网络用户的用户级的访问控制,使Linux主机用户访问权限得到了最小化控制,实现了更高精度的安全管控,本发明用于用户行为的本地记录。
Description
技术领域
本发明涉及计算机管理技术领域,具体涉及一种linux用户行为的本地记录方法。
背景技术
Linux是一个多用户多任务的分时操作系统,当前广泛应用于金融、电子商务、电子政务等领域,是重要的信息基础设施。Linux提供了一种可视化的壳工具(shell),使得我们能够操作系统本地用户,实现指令输入、状态查看、配置更新等各种人机交互功能。
站在信息安全视角,攻击者在攻击应用服务的同时,通常也会积极尝试获取其宿主操作系统的本地用户权限,以通过特定的指令、程序、脚本或模块来建立隐蔽信道或发起横向渗透。因此记录和分析Linux用户的登入登出和操作行为,能够帮助我们发现攻击者入侵的蛛丝马迹,从而提升整个安全防御体系的监控和响应水平。
目前Linux用户登入、登出及操作行为的记录多通过专用审计设备(堡垒机)或HIDS(主机入侵检测)实现。前者仅能记录企业内部人员的操作,无法捕捉外部入侵;后者需要在纳入监控的每一台Linux主机上安装终端程序,对操作系统侵入性较强,可能影响宿主操作系统的正常运行,存在不明确的兼容性、稳定性和可用性风险。
发明内容
针对现有技术中仅能记录企业内部人员的操作,无法捕捉外部入侵,以及对操作系统侵入性较强,可能影响宿主操作系统的正常运行,存在不明确的兼容性、稳定性和可用性风险的问题,本发明提供一种linux用户行为的本地记录方法,其目的在于:以用户为维度实现了任意行为的记录,方便安全人员快速查看和分析,同时也最大程度地规避了第三方程序或组件本身的风险。
本发明采用的技术方案如下:
一种linux用户行为的本地记录方法,包括:
A:设置获取当天日期的环境变量;
B:用户登录时,以登录用户命名的文件夹作为日志文件的存储目录;
C:在存储目录下,检测是否存在当天时期的日志文件夹,若不存在,则引用环境变量获取的日期创建日志文件夹,用于存放当天生成的日志文件;
D:用户登录时,向当前登录用户对应的日志文件记录登录时间、用户设备信息和用户登录地址;通过系统命令date可获取当前登录时间,通过系统命令who am i可获取设备信息和用户登录地址;
E:将用户输入指令作为日志消息写入对应的日志文件中;用户输入指令时,更新环境变量HISTTIMEFORMAT值,使history回显增加日期、当前时间、当前用户设备信息、登录源设备IP信息显示。
F:设置用户登出时的日志消息,写入日志文件中;
G:通过对日志的查看和分析,了解运行时用户的状态。
进一步的,步骤B中:首先对日志文件的存储目录进行检测,通过命令/var/log对目标存储目录进行检测,若存在当前登录用户命名的文件夹,则将日志文件存储在该文件夹中,若不存在当前登录用户命名的文件夹,则创建以当前登录用户名命名的文件夹,将日志文件存储在该文件夹中。
进一步的,步骤B中:获取登录终端的操作信息,对登录用户是是否切换用户进行判断。
进一步的,若用户登录时进行用户切换,则将切换前后的用户日志文件写入到对应的用户名文件夹,日志文件包括当前时间、切换前用户名和切换后用户名。
进一步的,步骤E中:用户输入指令生成新的日志文件,对更新的日志文件增加日期、指令操作时间和用户设备信息内容。
进一步的,步骤F中,用户登出时日志内容包括当前时间、用户设备信息和用户地址,所述当前时间为用户登出时间。
综上所述,由于采用了上述技术方案,本发明的有益效果是:以用户为维度实现了任意行为的记录,方便安全人员快速查看和分析,同时也最大程度地规避了第三方程序或组件本身的风险。
通过修改操作系统底层配置文件的方式,实现了本地用户和网络用户的用户级的访问控制,使Linux主机用户访问权限得到了最小化控制,实现了更高精度的安全管控。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1为本发明记录用户登录的流程图;
图2为本发明记录用户一般操作行为的流程图;
图3为本发明记录用户登出的流程图。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
下面结合图1、图2和图3对本发明作详细说明。
一种linux用户行为的本地记录方法,本发明包括若干自定义shell脚本的创建和系统配置文件的修改。其中自定义shell脚本有:
脚步S1:用于初始化记录文件的存储路径、设置用户登录时的日志消息和环境变量。具体步骤包括:
a:自定义环境变量TODAY,获取当前日期。格式为“年-月-日”;
b:用户登录时,以登录用户命名的文件夹作为日志文件的存储目录;通过命令/var/log对日志文件的存储目录进行检测,若存在当前登录用户命名的文件夹,则将日志文件存储在该文件夹中,若不存在当前登录用户命名的文件夹,则创建以当前登录用户名命名的文件夹,将日志文件存储在该文件夹中;
c:检测当前登录用户对应日志文件夹下是否存在以当天日期(年-月-日)命名的日志文件。若无,则引用TODAY变量创建一个指定名称的空文件;
d:用户登录时,向当前登录用户对应的日志文件记录登录时间、用户设备信息和用户登录地址;通过系统命令date可获取当前登录时间,通过系统命令who am i可获取设备信息和用户登录地址;
e:将用户输入指令作为日志消息写入对应的日志文件中;用户输入指令时,更新环境变量HISTTIMEFORMAT值,使history回显增加日期、当前时间、当前用户设备信息、登录源设备IP信息显示。
脚本S2:识别和处理不同用户所执行的操作,具体包括:
f:调用操作系统命令history获取用户输入的指令,对登录用户是否切换用户进行判断,若用户登录时进行用户切换,则将切换前后的用户日志文件写入到对应的用户名文件夹,日志文件包括当前时间、切换前用户名和切换后用户名;分别向切换前后的两个用户的记录文件中写入消息“[当前时间][切换前用户]切换至[切换后用户]”,再执行下一步骤,关键代码:
msg=`history 1`
if[[$msg~=su]];then
echo`date-d now`$user1 switch to$user2>/var/log/$user1.log
g:将用户输入指令作为日志消息写入对应的记录文件中。
脚本S3:设置用户退出时的日志消息,即向当前登出用户对应的记录文件中写入消息“[当前时间][用户]从[登录地址]登出”;
系统及组件的配置修改包括:
修改用户文件夹目录下的.bash_profile文件,在shell初始化完成后执行脚本S1。关键代码:
PATH=$PATH:$HOME/bin
/usr/bin/S1
修改/etc/profile文件的PROMPT_COMMAND变量,使shell每次在打印提示符之前执行脚本S2。关键代码:
export PROMPT_COMMAND='{/usr/bin/S2;}'
修改用户文件夹目录下的.bash_logout文件,在shell关闭前执行脚本S3。
以下结合实施例的具体实施方式,对本发明的上述内容再作进一步的详细说明。但不应将此理解为本发明上述主题的范围仅限于以下的实例。在不脱离本发明上述技术思想情况下,根据本领域普通技术知识和惯用手段做出的各种替换或变更,均应包括在本发明的范围内。
实施例:
用户user于2020年7月31日9:00:23登入,包括:
步骤A:系统调用.bash_profile文件初始化shell;
步骤B:shell初始化完成,执行脚本S1,检查登录用户命名的文件夹/var/log/user目录是否存在。若否,则创建;
步骤C:检查当天日期/var/log/user/2020-07-31.log文件是否存在。若否,则创建;
步骤D:向/var/log/user/2020-07-31.log中写入消息:
[2020-07-30 09:00:23][user]login on from[172.16.16.172]
步骤E:更新环境变量HISTTIMEFORMAT值,使history回显增加日期、时间、当前用户、登录源IP信息显示。history示例:
1 2020-07-23 09:01:05user@172.16.16.172pwd
用户user于2020年7月31日9:01:05和9:02:11分别输入pwd、su-root命令。如图2所示,包括:
步骤A:用户输入pwd命令。系统执行PROMPT_COMMAND变量中指定的脚本S2,使用history 1打印命令;
步骤B:检测用户输入命令非su,系统向/var/log/user/2020-07-31.log中写入消息:
1 2020-07-23 09:01:05user@172.16.16.172pwd
步骤C:用户再次输入su-root命令。系统检测到关键字,分别向/var/log/user/2020-07-31.log和/var/log/root/2020-07-31.log文件中写入同一条消息:
[2020-07-23 09:02:11][user]switch to[root]
此时/var/log/user/2020-07-31.log的内容为:
[2020-07-30 09:00:23][user]login on from[172.16.16.172]
1 2020-07-23 09:01:05 user@172.16.16.172 pwd
2 2020-07-23 09:02:11 user@172.16.16.172 su-root
[2020-07-23 09:02:11][user]switch to[root]
此时/var/log/root/2020-07-31.log的内容为:
[2020-07-23 09:02:11][user]switch to[root]
[2020-07-30 09:02:13][root]login on from[172.16.16.172]
用户user于2020年7月31日9:05:54登出。如图3所示,包括:
步骤A:系统调用.bash_logout文件,执行脚本S3;
步骤B:向/var/log/user/2020-07-31.log中写入消息:
[2020-07-30 09:05:54][user]login out from[172.16.16.172]
以上所述实施例仅表达了本申请的具体实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请保护范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请技术方案构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。
Claims (6)
1.一种linux用户行为的本地记录方法,其特征在于:包括:
A:设置获取当天日期的环境变量;
B:用户登录时,以登录用户命名的文件夹作为日志文件的存储目录;
C:在存储目录下,检测是否存在当天时期的日志文件夹,若不存在,则引用环境变量获取的日期创建日志文件夹,用于存放当天生成的日志文件;
D:用户登录时,向当前登录用户对应的日志文件记录登录时间、用户设备信息和用户登录地址;
E:将用户输入指令作为日志消息写入对应的日志文件中;
F:设置用户登出时的日志消息,写入日志文件中。
2.根据权利要求1所述的一种linux用户行为的本地记录方法,其特征在于:步骤B中:首先对日志文件的存储目录进行检测,若存在当前登录用户命名的文件夹,则将日志文件存储在该文件夹中,若不存在当前登录用户命名的文件夹,则创建以当前登录用户名命名的文件夹,将日志文件存储在该文件夹中。
3.根据权利要求1所述的一种linux用户行为的本地记录方法,其特征在于:步骤B中:获取登录终端的操作信息,对登录用户是否切换用户进行判断。
4.根据权利要求3所述的一种linux用户行为的本地记录方法,其特征在于:若用户登录时进行用户切换,则将切换前后的用户日志文件写入到对应的用户名文件夹,日志文件包括当前时间、切换前用户名和切换后用户名。
5.根据权利要求1所述的一种linux用户行为的本地记录方法,其特征在于:步骤E中:用户输入指令生成新的日志文件,对更新的日志文件增加属性内容,包括:日期、指令操作时间、用户设备信息和用户IP信息。
6.根据权利要求1所述的一种linux用户行为的本地记录方法,其特征在于:步骤F中,用户登出时日志内容包括当前时间、用户设备信息和用户地址,所述当前时间为用户登出时间。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011516894.1A CN112541169A (zh) | 2020-12-21 | 2020-12-21 | 一种linux用户行为的本地记录方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011516894.1A CN112541169A (zh) | 2020-12-21 | 2020-12-21 | 一种linux用户行为的本地记录方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112541169A true CN112541169A (zh) | 2021-03-23 |
Family
ID=75019337
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011516894.1A Withdrawn CN112541169A (zh) | 2020-12-21 | 2020-12-21 | 一种linux用户行为的本地记录方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112541169A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115001843A (zh) * | 2022-06-24 | 2022-09-02 | 咪咕文化科技有限公司 | 身份验证方法、装置、电子设备及计算机可读存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104700024A (zh) * | 2013-12-10 | 2015-06-10 | 中国移动通信集团黑龙江有限公司 | 一种Unix类主机用户操作指令审计的方法和系统 |
| CN106301886A (zh) * | 2016-07-22 | 2017-01-04 | 天脉聚源(北京)传媒科技有限公司 | 一种用户操作审计方法及装置 |
| CN106815126A (zh) * | 2015-11-30 | 2017-06-09 | 南京壹进制信息技术股份有限公司 | 一种通用文件系统日志记录方法及装置 |
| CN107515808A (zh) * | 2017-08-08 | 2017-12-26 | 百富计算机技术(深圳)有限公司 | 日志记录方法、装置、计算机设备和计算机可读存储介质 |
-
2020
- 2020-12-21 CN CN202011516894.1A patent/CN112541169A/zh not_active Withdrawn
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104700024A (zh) * | 2013-12-10 | 2015-06-10 | 中国移动通信集团黑龙江有限公司 | 一种Unix类主机用户操作指令审计的方法和系统 |
| CN106815126A (zh) * | 2015-11-30 | 2017-06-09 | 南京壹进制信息技术股份有限公司 | 一种通用文件系统日志记录方法及装置 |
| CN106301886A (zh) * | 2016-07-22 | 2017-01-04 | 天脉聚源(北京)传媒科技有限公司 | 一种用户操作审计方法及装置 |
| CN107515808A (zh) * | 2017-08-08 | 2017-12-26 | 百富计算机技术(深圳)有限公司 | 日志记录方法、装置、计算机设备和计算机可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 陶新宇;王普;罗齐贤;: "Linux操作系统用户操作审计初探", 企业技术开发, no. 13, pages 16 - 17 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115001843A (zh) * | 2022-06-24 | 2022-09-02 | 咪咕文化科技有限公司 | 身份验证方法、装置、电子设备及计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10642978B2 (en) | Information security techniques including detection, interdiction and/or mitigation of memory injection attacks | |
| JP6829718B2 (ja) | 複数のソフトウェアエンティティにわたって悪意あるビヘイビアを追跡するためのシステムおよび方法 | |
| Carvey | Windows forensic analysis DVD toolkit | |
| US9292328B2 (en) | Management of supervisor mode execution protection (SMEP) by a hypervisor | |
| JP4629332B2 (ja) | 状態参照モニタ | |
| US9092625B1 (en) | Micro-virtual machine forensics and detection | |
| EP0443423B1 (en) | Method and apparatus for executing trusted-path commands | |
| US20100306851A1 (en) | Method and apparatus for preventing a vulnerability of a web browser from being exploited | |
| Jang et al. | Gyrus: A Framework for User-Intent Monitoring of Text-based Networked Applications. | |
| US20070277127A1 (en) | Screensaver for individual application programs | |
| US20070044153A1 (en) | Computer security technique employing patch with detection and/or characterization mechanism for exploit of patched vulnerability | |
| US20110239306A1 (en) | Data leak protection application | |
| US20230388344A1 (en) | Deceiving attackers accessing active directory data | |
| US10542044B2 (en) | Authentication incident detection and management | |
| US20180173876A1 (en) | Deceiving attackers in endpoint systems | |
| KR101223594B1 (ko) | Lkm 루트킷 검출을 통한 실시간 운영정보 백업 방법 및 그 기록매체 | |
| US10182069B2 (en) | System and method for blocking elements of application interface | |
| M. Milajerdi et al. | Propatrol: Attack investigation via extracted high-level tasks | |
| CN109783316B (zh) | 系统安全日志篡改行为的识别方法及装置、存储介质、计算机设备 | |
| CN108234480A (zh) | 入侵检测方法及装置 | |
| CN116488872A (zh) | JavaWeb应用的攻击行为的识别和防御方法及其装置 | |
| CN112541169A (zh) | 一种linux用户行为的本地记录方法 | |
| Vigna et al. | Host-based intrusion detection | |
| CN115086081B (zh) | 一种蜜罐防逃逸方法及系统 | |
| US9037608B1 (en) | Monitoring application behavior by detecting file access category changes |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20210323 |