在企業(yè)級Linux運(yùn)維中，實(shí)時(shí)記錄用戶操作歷史是審計(jì)排查的關(guān)鍵步驟。本文華納云針對CentOS7系統(tǒng)，提供三種高效方案實(shí)現(xiàn)分用戶日志記錄+防篡改管理。所有步驟均經(jīng)過實(shí)際驗(yàn)證，代碼段內(nèi)含執(zhí)行邏輯剖析。

一、核心原理剖析

1. 原生歷史記錄缺陷 (~/.bash_history)

默認(rèn)延遲寫入：會話退出后才保存命令

易被清空：用戶可通過history -c或刪除文件清除記錄

混合存儲：不同用戶命令混合在同一文件

2. 改進(jìn)方案設(shè)計(jì)要點(diǎn)

實(shí)時(shí)寫入：通過PROMPT_COMMAND變量實(shí)現(xiàn)逐條記錄

獨(dú)立日志：按用戶名生成隔離文件

權(quán)限控制：僅允許追加寫入(chattr +a)

完整元數(shù)據(jù)：記錄時(shí)間/IP/用戶等上下文信息

二、實(shí)戰(zhàn)配置流程 (推薦方案)

步驟1：創(chuàng)建受保護(hù)日志目錄

sudo mkdir -p /var/log/command_audit  #創(chuàng)建統(tǒng)一存放目錄
sudo chmod 755 /var/log/command_audit  #設(shè)置為全局可讀但不可寫
sudo chown root:root /var/log/command_audit  #權(quán)限歸屬root
sudo chattr +a /var/log/command_audit  #啟用僅追加模式防止刪除

代碼說明：

chattr +a鎖定文件屬性，用戶無法刪除或修改現(xiàn)有內(nèi)容

/var/log為系統(tǒng)日志規(guī)范存放位置，便于統(tǒng)一管理

步驟2：全局配置腳本部署

新建配置文件：

sudo vim /etc/profile.d/command_logger.sh

內(nèi)容模板?：

# 定義日志格式
export HISTTIMEFORMAT="%F %T `whoami` "  #時(shí)間戳+用戶標(biāo)識
# 實(shí)時(shí)寫入邏輯
export PROMPT_COMMAND='
 CURRENT_CMD=$(history 1 | sed "s/^[ ]*//g");  #提取最新命令
 echo "${CURRENT_CMD}" | tee -a 
 "/var/log/command_audit/`whoami`-$(date +%Y%m%d).log"
 >/dev/null 2>&1'  #按天分文件記錄

代碼說明：

PROMPT_COMMAND：每次新命令行提示符出現(xiàn)前觸發(fā)執(zhí)行

tee -a：同時(shí)輸出到屏幕和日志（防丟失）

whoami與date：動態(tài)生成帶用戶+日期的唯一文件名

步驟3：權(quán)限加固與審計(jì)優(yōu)化

設(shè)置日志防篡改：

sudo touch /var/log/command_audit/*.log  #初始化空文件
sudo chmod 640 /var/log/command_audit/*.log  #僅root可寫，用戶只讀
sudo chattr +a /var/log/command_audit/*.log  #強(qiáng)制追加模式

三、附加安全防護(hù)技巧

1. 增強(qiáng)版元數(shù)據(jù)記錄

修改PROMPT_COMMAND添加更多審計(jì)信息：

export PROMPT_COMMAND='
 REMOTE_IP=$(echo ${SSH_CONNECTION} | awk "{print $1}");  #獲取客戶端IP
 LOG_TIME=$(date "+%Y-%m-%d %H:%M:%S");  #精確到秒的時(shí)間
 CMD_CONTENT=$(history 1 | sed "s/^[ ]*//g");  #提取命令
 echo "${LOG_TIME} | ${REMOTE_IP} | ${USER} | ${CMD_CONTENT}" 
 >> /var/log/command_audit/${USER}.audit.log'

2. 定期日志轉(zhuǎn)儲策略

新增logrotate配置文件：

sudo vim /etc/logrotate.d/command_audit 

內(nèi)容模板：

/var/log/command_audit/*.log {
    daily        #每日切割
    rotate 90    #保留90天
    compress     #啟用壓縮
    missingok    #允許文件不存在
    notifempty   #空文件不處理
}

四、效果驗(yàn)證與問題排查

1. 實(shí)時(shí)驗(yàn)證

新開終端執(zhí)行：

tail -f /var/log/command_audit/testuser.log  #實(shí)時(shí)追蹤日志

2. 關(guān)鍵故障點(diǎn)分析

權(quán)限不足：檢查chattr +a和目錄所有權(quán)

SELinux攔截：查看/var/log/audit/audit.log過濾關(guān)鍵字

時(shí)區(qū)錯(cuò)誤：使用timedatectl確認(rèn)系統(tǒng)時(shí)間配置

多會話覆蓋：確認(rèn)shopt -s histappend已啟用歷史追加模式

五、擴(kuò)展應(yīng)用場景

容器環(huán)境適配：Docker鏡像構(gòu)建時(shí)預(yù)置配置

自動化巡檢：通過ELK搭建集中式日志分析平臺

高危命令告警：結(jié)合grep實(shí)時(shí)監(jiān)控rm -rf等危險(xiǎn)操作