0x00 背景
最近,有个IT的同事给我提了一个需求,说想监控/root/.ssh/ 文件夹下的文件变动,于是我灵机一动,这个需求只要对执行过的历史命令做审计就可以了。
0x01 实践
我实现这个功能使用 rsyslog 和 firewalld 两个组件。
我的设计是把命令history 转发到/usr/share/commands.log这个文件,再对这个文件监控。
这个命令是临时的,只对当前会话可以记录。
如果想永久重定向,执行下面的命令
然后开始配置文件通过syslog配置轮转到 /var/log/firewalld.log,按照下面命令修改配置
vi /etc/rsyslog.d/commands.conf
重启 syslog服务
当然,需要确保 firewall 处于开启状态
提供一份简单的检查firewall 状态代码
只要监控这个文件即可,不止有firewalld.log 还有command history,可以根据需求自由添加。