• 本文目录导读：
• 1、 使用日志文件记录用户登录信息
• 2、 使用auditd记录shell命令
• 3、 使用时间同步服务记录操作时间

在今天的网络安全环境下，对于系统管理员来说，监控和记录用户登录过程是非常重要的。这些记录包括用户登录信息、IP地址、shell命令以及操作时间等等。在本文中，我们将介绍如何详细记录这些信息。

1. 使用日志文件记录用户登录信息

系统管理员可以使用日志文件来记录所有用户访问和登录服务器的活动。通过配置适当的日志级别，管理员可以选择哪些事件需要被监视并存储到日志文件中。

通常情况下，Linux系统使用syslogd守护进程来管理系统事件，并将这些事件写入/var/log/messages或/var/log/syslog文件中。为了更好地区分不同类型的事件，我们可以创建一个新的日志文件，并将其配置为只存储与用户访问相关的事件。

例如，在CentOS 7上创建一个名为“access.log”的新日志文件：

“`

# touch /var/log/access.log

# chmod 640 /var/log/access.log

# chown root:adm /var/log/access.log

接下来，在/etc/rsyslog.conf或/etc/rsyslog.d/50-default.conf（Ubuntu）中添加以下行：

auth,authpriv.* -/var/log/access.log

然后重新启动rsyslogd守护进程：

# systemctl restart rsyslog

现在，所有与登录和认证相关的事件将被记录到/var/log/access.log文件中。

2. 使用auditd记录shell命令

除了用户登录信息外，还有一些重要的安全事件需要记录。例如，管理员可能希望监视特定用户执行的所有命令，并将这些命令写入日志文件以进行后续审计。

为此，我们可以使用auditd守护进程来监视系统上执行的所有操作，并将这些操作写入日志文件中。下面是如何配置auditd以监视一个特定用户（例如“bob”）所执行的所有shell命令：

首先，在/etc/audit/rules.d/目录中创建一个名为“user-bob.rules”的新规则文件：

# vi /etc/audit/rules.d/user-bob.rules

然后添加以下规则：

-a exit,always -F arch=b64 -F euid=1000 -S execve

-a exit,always -F arch=b32 -F euid=1000 -S execve

保存并关闭该文件。上述规则表示：当UID为1000（即bob）的用户在系统上执行任何类型的execve()调用时，都会被记录到日志文件中。

最后，重新启动auditd守护进程以应用新规则：

# systemctl restart auditd

现在，“bob”所执行过的所有shell命令都会被写入/var/log/audit/audit.log日志文件。

3. 使用时间同步服务记录操作时间

最后，管理员还需要确保系统的时钟同步服务已正确配置。如果系统时钟不准确，那么所有的日志记录都将无法被准确定位到特定的时间点。

为了解决这个问题，我们可以使用NTP（Network Time Protocol）来同步服务器上的时钟。在CentOS 7上安装和配置NTP非常简单：

# yum install ntp

# systemctl enable ntpd

# systemctl start ntpd

现在，您可以使用命令date查看系统时间，并确认它已经与网络中其他计算机同步。

通过以上三个方法，管理员可以详细地记录用户登录信息、shell命令以及操作时间等重要信息。这些信息对于安全审计和故障排除都是非常有用的。

当然，在实践中还有许多其他技术和工具可供选择。但是无论您选择哪种方法，请务必始终记得保护这些日志文件并进行备份以防止数据丢失或恶意攻击。

最后，请记得检查您所使用的Linux发行版文档，并遵循推荐的最佳实践来确保您的系统始终处于安全状态。