Linux运维人员共用root帐户权限审计

Posted 2020-08-19

在中小型企业，公司不同运维人员基本都是以root 账户进行服务器的登陆管理，缺少了账户权限审计制度。不出问题还好，出了问题，就很难找出源头。

这里介绍下，如何利用编译bash 使不同的客户端在使用root 登陆服务器使，记录各自的操作，并且可以在结合ELK 日志分析系统，来收集登陆操作日志

1、下载编译bash

wget http://ftp.gnu.org/gnu/bash/bash-4.4.tar.gz

tar -xvf bash-4.4.tar.gz

cd /root/bash-4.4

2、 先修改下config-top.h 大概在103，116行附近 （取消注释） 由于c 语言中 注释是/**/ ，所以不要删除错了。修改如下：

#define SSH_SOURCE_BASHRC

#define SYSLOG_HISTORY

3 修改下bashhist.c 文件，让终端上的命令记录到系统messages 中，并且以指定的格式。并传入获得的变量。修改后的内容如下：

4 配置安装路径，编译安装，编译到/usr/local/目录下

./configure --prefix=/usr/local/bash4-4/

make && make install

5、编译完成后，将新的bash 追加到 /etc/shells 中，并修改root用户的登陆shell 环境为新编译的shell

6、注销当前root用户，重新登陆后，查看/var/log/messages，如下就可以看到记录了操作命令