【技术分享】Linux安全运维:谁动了我的主机? 之活用History命令

栏目: 服务器 · 发布时间: 7年前

内容简介:【技术分享】Linux安全运维:谁动了我的主机? 之活用History命令
2017-05-31 10:15:19 阅读:388次 来源: 安全客
【技术分享】Linux安全运维:谁动了我的主机? 之活用History命令
作者:悬镜安全

【技术分享】Linux安全运维:谁动了我的主机? 之活用History命令

本篇文章是悬镜安全实验室运维小伙们写的一篇文章,适合初中级运维人员阅读。作者结合自己多年丰富的工作实战经验,以简单、通俗易懂方式讲述了如何活用history命令。

Linux系统下可通过history命令查看用户所有的历史操作记录,在安全应急响应中起着非常重要的作用,但在未进行附加配置情况下,history命令只能查看用户历史操作记录,并不能区分用户以及操作时间,不便于审计分析。

当然,一些不好的操作习惯也可能通过命令历史泄露敏感信息。

下面我们来介绍如何让history日志记录更细化,更便于我们审计分析。

1、命令历史记录中加时间

默认情况下如下图所示,没有命令执行时间,不利于审计分析。

【技术分享】Linux安全运维:谁动了我的主机? 之活用History命令

通过设置export HISTTIMEFORMAT='%F %T ',让历史记录中带上命令执行时间。

注意”%T”和后面的”’”之间有空格,不然查看历史记录的时候,时间和命令之间没有分割。

要一劳永逸,这个配置可以写在/etc/profile中,当然如果要对指定用户做配置,这个配置可以写在/home/$USER/.bash_profile中。

本文将以/etc/profile为例进行演示。

【技术分享】Linux安全运维:谁动了我的主机? 之活用History命令

要使配置立即生效请执行source /etc/profile,我们再查看history记录,可以看到记录中带上了命令执行时间。

【技术分享】Linux安全运维:谁动了我的主机? 之活用History命令

如果想要实现更细化的记录,比如登陆过系统的用户、IP地址、操作命令以及操作时间一一对应,可以通过在/etc/profile里面加入以下代码实现

export HISTTIMEFORMAT="%F %Twho -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'whoami ",注意空格都是必须的。

【技术分享】Linux安全运维:谁动了我的主机? 之活用History命令

修改/etc/profile并加载后,history记录如下,时间、IP、用户及执行的命令都一一对应。

【技术分享】Linux安全运维:谁动了我的主机? 之活用History命令

通过以上配置,我们基本上可以满足日常的审计工作了,但了解系统的朋友应该很容易看出来,这种方法只是设置了环境变量,攻击者unset掉这个环境变量,或者直接删除命令历史,对于安全应急来说,这无疑是一个灾难。

针对这样的问题,我们应该如何应对,下面才是我们今天的重点,通过修改bash源码,让history记录通过syslog发送到远程logserver中,大大增加了攻击者对history记录完整性破坏的难度。

2、修改bash源码,支持syslog记录

首先下载bash源码,可以从gnu.org下载,这里不做详细说明了,系统需要安装gcc等编译环境。我们用bash4.4版本做演示。

修改源码:bashhist.c

【技术分享】Linux安全运维:谁动了我的主机? 之活用History命令

修改源码config-top.h,取消/#define SYSLOG_HISTORY/这行的注释

【技术分享】Linux安全运维:谁动了我的主机? 之活用History命令

编译安装,编译过程不做详细说明,本文中使用的编译参数为: ./configure --prefix=/usr/local/bash,安装成功后对应目录如下:

【技术分享】Linux安全运维:谁动了我的主机? 之活用History命令

此时可以修改/etc/passwd中用户 shell 环境,也可以用编译好的文件直接替换原有的bash二进制文件,但最好对原文件做好备份。

替换时要注意两点:

1、一定要给可执行权限,默认是有的,不过有时候下载到windows系统后,再上传就没有可执行权限了,这里一定要确定,不然你会后悔的;

2、替换时原bash被占用,可以修改原用户的bash环境后再进行替换。

查看效果,我们发现history记录已经写到了/var/log/message中。

【技术分享】Linux安全运维:谁动了我的主机? 之活用History命令

如果要写到远程logserver,需要配置syslog服务,具体配置这里不做详细讲解,大家自己研究,发送到远端logserver效果如下图所示。

【技术分享】Linux安全运维:谁动了我的主机? 之活用History命令

通过以上手段,可以有效保证history记录的完整性,避免攻击者登录系统后,通过取消环境变量、删除history记录等方式抹掉操作行为,为安全审计、应急响应等提供了完整的原始数据。

本文为悬镜安全实验室原创文章,如需转载请标注: http://lab.xmirror.cn/2017/05/26/sdlwdzj/

悬镜安全实验室介绍

悬镜安全实验室作为安普诺核心的网络攻防研究团队,主要负责前言安全技术研究和为企业客户提供专业的安全保障及安全咨询等服务,主要包括:基于深度学习的WEB威胁检测引擎研究、恶意样本分析、APT模拟攻击测试、高级渗透测试、主机安全巡检、安全事件应急响应、服务器防黑加固及安卓App风险评估等。

【技术分享】Linux安全运维:谁动了我的主机? 之活用History命令 【技术分享】Linux安全运维:谁动了我的主机? 之活用History命令

本文由 安全客 原创发布,如需转载请注明来源及本文地址。

本文地址:http://bobao.360.cn/learning/detail/3918.html


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

The Haskell School of Music

The Haskell School of Music

Paul Hudak、Donya Quick / Cambridge University Press / 2018-10-4 / GBP 42.99

This book teaches functional programming through creative applications in music and sound synthesis. Readers will learn the Haskell programming language and explore numerous ways to create music and d......一起来看看 《The Haskell School of Music》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

SHA 加密
SHA 加密

SHA 加密工具

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具