通常，我们运维管理人员需要知道一台服务器上有哪些用户登录过，在服务器上执行了哪些命令，干了哪些事情，这就要求记录服务器上所用登录用户的操作信息，这对于安全维护来说很有必要。废话不多说了，下面直接记录做法：

1）查看及管理当前登录用户使用w命令查看当前登录用户正在使用的进程信息，w命令用于显示已经登录系统的用户的名称，以及它们正在做的事。该命令所使用的信息来源于/var/run/utmp文件。w命令输出的信息包括：-> 用户名称-> 用户的机器名称或tty号-> 远程主机地址-> 用户登录系统的时间-> 空闲时间（作用不大）-> 附加到tty（终端）的进程所用的时间（JCPU时间）-> 当前进程所用时间（PCPU时间）-> 用户当前正在使用的命令 [root@test ~]# w 13:54:14 up 2 days,  2:53,  4 users,  load average: 0.02, 0.02, 0.00USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHATroot     tty1     -                Mon11    3:44m  0.11s  0.06s -bashtest     pts/0    172.16.255.202   10:11    1:48m  0.11s  0.03s vim userinfo.textnanli    pts/3    172.16.255.196   12:01    1:52m  0.00s  0.00s -bashwork     pts/4    172.116.55.13   12:08    0.00s  0.02s  0.00s w 此外，可以使用"who am i"查看使用该命令的用户及进程，使用who查看所有登录用户进程信息，这些查看命令大同小异； 2、使用pkill强制退出登录的用户 使用pkill可以结束当前登录用户的进程，从而强制退出用户登录，具体使用可以结合w命令；-> 使用w查看当前登录的用户，注意TTY所示登录进程终端号-> 使用"pkill –9 -t TTY终端号" 结束该进程所对应用户登录(可根据FROM的IP地址或主机号来判断）[root@test ~]# pkill -9 pts/4[root@test ~]# w 13:59:23 up 2 days,  2:56,  4 users,  load average: 0.02, 0.02, 0.00USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHATroot     tty1     -                Mon11    3:44m  0.11s  0.06s -bashtest     pts/0    172.16.255.202   10:11    1:48m  0.11s  0.03s vim userinfo.text 2）查看所有登录用户的操作历史在Linux系统的环境下，不管是root用户还是其它的用户只有登陆系统后用进入操作我们都可以通过命令history来查看历史记录。可是假如一台服务器多人登陆，一天因为某人误操作了删除了重要的数据。这时候通过查看历史记录（命令：history）是没有什么意义了（因为history只针对登录用户下执行有效，即使root用户也无法得到其它用户histotry历史）。那有没有什么办法实现通过记录登陆后的IP地址和某用户名所操作的历史记录呢？答案肯定是有的！ 通过在/etc/profile文件底部添加以下代码就可以实现：[root@test ~]# cat /etc/profile......#记录每个用户的操作信息export PS1='[\u@\h \w]# 'historyUSER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`if [ "$USER_IP" = "" ]thenUSER_IP=`hostname`fiif [ ! -d /opt/history ]thenmkdir /opt/historychmod 777 /opt/historyfiif [ ! -d /opt/history/${LOGNAME} ]thenmkdir /opt/history/${LOGNAME}chmod 300 /opt/history/${LOGNAME}fiexport HISTSIZE=4096DT=`date +"%Y%m%d_%H%M%S"`export HISTFILE="/opt/history/${LOGNAME}/${USER_IP} history.$DT"chmod 600 /opt/history/${LOGNAME}/*history* 2>/dev/null [root@test ~]# source /etc/profile     #使得上面配置生效 上面脚本在系统的/opt下新建个history目录，记录所有登陆过系统的用户和IP地址（文件名），每当用户登录/退出会创建相应的文件，该文件保存这段用户登录时期内操作历史，可以用这个方法来监测系统的安全性。------------------------------------------------------------------------------------------------------------------------------------------上面的显示跟默认的linux终端显示不太习惯。现在要求终端里切换路径后，只显示当前的简介路径，不显示全部路径，并且后面带上#或$符号，那么只需要将上面的第一行PS1参数后面的设置如下：1）只显示当前简介路径，不显示全路径，显示#号。注意下面在"#"符号后面空出一格，这样终端的"#"符号跟命令之间就有了一格的距离，习惯而已！PS1="[\u@\h \W]# "2)只显示当前简介路径，不显示全路径，显示$号。注意下面的"$"符号后面空出一格。PS1="[\u@\h \W]\$ "这里我在脚本选择第（1）种带"#"号显示（也可以两种都不选，直接将第一行PS1的设置给去掉，这样就是默认的了终端显示.线上使用的话，推荐使用这种默认的），生效后的终端显示内容和linux默认显示的一样。即export PS1="[\u@\h \W]# "------------------------------------------------------------------------------------------------------------------------------------------比如：使用nanli账号操作：[root@test ~]# su - nanbo[nanbo@test ~]# echo "hahahahah"hahahahah[nanbo@test ~]# cd /usr/local/[nanbo@test local]# lsbin  etc  games  include  lib  lib64  libexec  libzip  man  openssl  sbin  share  src[nanbo@test local]# cat /etc/passwd[nanbo@test local]# ls /var/log/messages/var/log/messages然后退出nanli账号，查看用户操作信息[nanbo@test local]# logout[root@test ~]# cd /opt/[root@test opt]# lshistory  rh[root@test opt]# cd history/[root@test history]# lsnanbo  root[root@test history]# cd nanbo/[root@test nanbo]# ls172.16.255.193 history.20170816_150403[root@test nanbo]# cat 172.16.255.193\ history.20170816_150403 #1502867049echo "hahahahah"#1502867052cd /usr/local/#1502867053ls#1502867056cat /etc/passwd#1502867062ls /var/log/messages

过一段时间，root操作记录也会有

[root@test ~]# cd /opt/history/[root@test history]# lsnanbo  root[root@test history]# cd root/[root@test root]# lltotal 32Kd-wx------ 2 root root 4.0K Aug 16 23:07 .drwxrwxrwx 4 root root 4.0K Aug 16 15:04 ..-rw------- 1 root root 2.4K Aug 16 16:43 192.168.1.193 history.20170816_134444-rw------- 1 root root 1.2K Aug 16 17:05 192.168.1.193 history.20170816_150350-rw------- 1 root root  251 Aug 16 18:43 192.168.1.202 history.20170816_184256-rw------- 1 root root   18 Aug 16 20:54 192.168.1.213 history.20170816_205434-rw------- 1 root root  329 Aug 16 23:07 192.168.1.213 history.20170816_210614-rw------- 1 root root  185 Aug 16 15:24 172.29.20.24 history.20170816_150535[root@test root]# cat 192.168.1.193\ history.20170816_134444 #1502861816cat /etc/profile#1502861851ls#1502861862vim /etc/profile#1502861881source /etc/profile#1502861887cd /usr/local/#1502861894vim /etc/profile#1502861906source /etc/profile

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------
还有一种方案：这个方案会在每个用户退出登录 时把用户所执行的每一个命令都发送给日志守护进程rsyslogd,你也可通过配置“/etc/rsyslog.conf”进一步将日志发送给日志服务器：

操作如下：把下面内容添加到/etc/profile文件底部[root@elk-node1 ~]# vim /etc/profile........ #设置history格式export HISTTIMEFORMAT="[%Y-%m-%d %H:%M:%S] [`who am i 2>/dev/null| \awk '{print $NF}'|sed -e 's/[()]//g'`] " #登录时清空当前缓存echo "" > .bash_history #记录shell执行的每一条命令export PROMPT_COMMAND='\if [ -z "$OLD_PWD" ];thenexport OLD_PWD=$PWD;fi;if [ ! -z "$LAST_CMD" ] && [ "$(history 1)" != "$LAST_CMD" ]; thenlogger -t `whoami`_shell_cmd "[$OLD_PWD]$(history 1)";fi ;export LAST_CMD="$(history 1)";export OLD_PWD=$PWD;'[root@elk-node1 ~]# sudo /etc/profile测试：分别使用kevin，grace账号登陆这台服务器进行一些操作。然后发现/var/log/message日志文件中已经记录了这两个用户的各自操作了~[root@elk-node2 ~]# tail -20 /var/log/messagesOct 24 14:16:04 elk-node2 root_shell_cmd: [/root] 321 [2016-10-24 14:16:04] [gateway] tail -100 /var/log/messagesOct 24 14:19:09 elk-node2 root_shell_cmd: [/root] 322 [2016-10-24 14:18:51] [gateway] vim /etc/profileOct 24 14:19:12 elk-node2 su: (to kevin) root on pts/0Oct 24 14:19:25 elk-node2 root_shell_cmd: [/root] 315 [2016-10-24 14:19:23] [gateway] tail -f /var/log/messagesOct 24 14:19:40 elk-node2 kevin_shell_cmd: [/home/kevin] 2 [2016-10-24 14:19:40] [gateway] echo "123456" > testOct 24 14:19:43 elk-node2 kevin_shell_cmd: [/home/kevin] 3 [2016-10-24 14:19:43] [gateway] uptimeOct 24 14:19:45 elk-node2 kevin_shell_cmd: [/home/kevin] 4 [2016-10-24 14:19:45] [gateway] whoOct 24 14:19:47 elk-node2 kevin_shell_cmd: [/home/kevin] 5 [2016-10-24 14:19:47] [gateway] lastOct 24 14:19:48 elk-node2 root_shell_cmd: [/root] 323 [2016-10-24 14:19:12] [gateway] su - kevinOct 24 14:19:52 elk-node2 su: (to grace) root on pts/0Oct 24 14:20:00 elk-node2 grace_shell_cmd: [/usr/local/src] 2 [2016-10-24 14:20:00] [gateway] lsOct 24 14:20:03 elk-node2 grace_shell_cmd: [/usr/local/src] 3 [2016-10-24 14:20:03] [gateway] dateOct 24 14:20:11 elk-node2 grace_shell_cmd: [/usr/local/src] 4 [2016-10-24 14:20:11] [gateway] free -mOct 24 14:20:12 elk-node2 root_shell_cmd: [/root] 324 [2016-10-24 14:19:52] [gateway] su - graceOct 24 14:20:23 elk-node2 root_shell_cmd: [/root] 316 [2016-10-24 14:20:18] [gateway] tail -f /etc/sudoersOct 24 14:20:30 elk-node2 root_shell_cmd: [/root] 317 [2016-10-24 14:20:24] [gateway] tail -f /var/log/messagesOct 24 14:20:35 elk-node2 root_shell_cmd: [/root] 318 [2016-10-24 14:20:35] [gateway] tail -100 /var/log/messagesOct 24 14:20:46 elk-node2 su: (to kevin) root on pts/0Oct 24 14:23:42 elk-node2 root_shell_cmd: [/root] 325 [2016-10-24 14:20:46] [gateway] su - kevinOct 24 14:23:45 elk-node2 root_shell_cmd: [/root] 326 [2016-10-24 14:23:45] [gateway] cat /etc/profile

©著作权归作者所有：来自51CTO博客作者80民工的原创作品，如需转载，请注明出处，否则将追究法律责任

更多相关文章

1. Linux TOP命令
2. 【OS】Linux命令如何放到后台运行
3. ASP.NET Core WebApi基于JWT实现接口授权验证
4. DAY02-html表格和表单的实例应用（课程排期表和用户注册信息表）
5. Linux常用的shell命令汇总
6. Oracle常见问题一千问
7. Oracle数据库安全管理
8. Django开发中常用的命令总结
9. windows从linux拷贝下载文件的两种方式

随机推荐

1. android 入门xml布局文件--转
2. Android(安卓)View如何获取焦点
3. shape画listview分割线
4. Fragment、Activity比较——Android碎片
5. Android(安卓)中ListView setOnItemClick
6. android之知识点小结一
7. Android布局属性详解
8. 2013.08.15——— android Fragment的简
9. 让EditView只能输入电话号码 同时还是密
10. Android 短信 彩信 wap push的接收