使用snoopy logger记录用户命令

原文地址：http://blog.sina.com.cn/s/blog_704836f40101kyys.html

在没有运维堡垒机之前,很多管理员公用root帐号来管理服务器。

常见的一个情况很多天前有人改了什么配置，造成故障，追查的时候不能区分是谁做了什么操作。 shell虽然有历史功能，但是这个功能并非针对审计的目的而设计，因此很容易被用户篡改或是丢失。 为了解决这个问题，找到了snoopy logger这个软件。 其工作原理是将自己的.so插入到/etc/ld.so.preload中，以监视exec系统调用。 我下边示例是将用户操作记录到本地日志，如果为了安全审计，可以将日志通过rsyslog发送到远程中心日志服务器上。 简单流水账一下步骤。 1.安装 下载最新版源码。https://github.com/a2o/snoopy # yum groupinstall "Development tools" # unzip snoopy-master.zip # cd snoopy-master # autoheader# autoconf # ./configure # make# make install # make enable # yum groupremove "Development tools" 需要注意的是snoopy logger和Redhat系统可能存在冲突,需要予以确认，方法如下: 关闭BIOS中的Hyper-Threading设置 按照上述步骤安装好snoopy logger 重起系统，第一次 查看/var/log/secure文件确认snoopy logger处于工作状态 再次重起系统，如果两次重起都能正常启动，说明没有问题。 2.配置rsyslog # vi /etc/rsyslog.d/snoopy.conf if $programname == 'snoopy' and $syslogseverity