BASH增加日志功能

    如果工作中遇到了比较囧的情况，机器被人攻破了，黑客登录了你的系统（当然我们会尽全力防止这样的事情发生）你一定会希望系统记录下来哪个用户做过哪些操作。History功能并不能满足这个要求，因为黑客的智商应该会告诉他在离开的时候删除history记录（除非你遇到个菜鸟黑客）。

    那么我们怎么预防呢？这里的方法是给bash来个记录日志，谁在什么时间操作了什么命令，都写到messages里面去。

下面是具体步骤：

1.       下载并打补丁

#cd /home/soft

#wget  http://ftp.gnu.org/gnu/bash/bash-4.1.tar.gz

#tar zxf bash-4.1.tar.gz ; cd bash-4.1

#wget -r -nd -np http://ftp.gnu.org/gnu/bash/bash-4.1-patches/

#patch -p0 < bash41-001  全部文件都要patch一遍

2.       修改源码

这里这么做的原因是因为bash4.1默认在代码里面注释了log功能，并且原来记录的内容并不能满足要求，所以需要修改。

#vi bashhist.c +708  708行左右修改成下面内容

 syslog (SYSLOG_FACILITY|SYSLOG_LEVEL, "HISTORY: PID=%d PPID=%d SID=%d  User=%s CMD=%s", getpid(), getppid(), getsid(getpid()),  current_user.user_name, line);

  else

    {

      strncpy (trunc, line, SYSLOG_MAXLEN);

      trunc[SYSLOG_MAXLEN - 1] = '\0';

      syslog (SYSLOG_FACILITY|SYSLOG_LEVEL, "HISTORY (TRUNCATED): PID=%d  PPID=%d SID=%d User=%s CMD=%s", getpid(), getppid(), getsid(getpid()),  current_user.user_name, trunc);

    }

#vi config-top.h  取消/*#define SYSLOG_HISTORY*/这行的注释

3.       编译安装

#./configure --prefix=/usr/local/bash && make && make install

4.       测试

#vi /etc/passwd  修改一个用户的登录shell到/usr/local/bash/bin/bash

tom:x:501:501::/home/users/tom:/usr/local/bash/bin/bash

用tom用户登录并进行一些操作，之后查看messages文件，可以看到类似下面的记录：

Jan 14 13:35:15 rhel6 -bash: HISTORY: PID=15912 PPID=2161 SID=15912  User=tom CMD=cat yum.conf

5.       把日志记录的日志服务器

#vi /etc/syslog.conf  添加一行*.*  @logservername

日志服务器的做法只需要在/etc/sysconfig/syslog文件中修改SYSLOGD_OPTIONS="-m -r 0"即可。

PS：此方法只针对syslog程序，RHEL6.0已更换为rsyslog具体方法还没研究。

参考链接：

http://wenku.baidu.com/view/c3bb49c58bd63186bcebbc7a.html

http://www.rsyslog.com/doc

出自：http://salogs.com/

skyou.blog.51cto.com/2915693/550736