出於某些原因,你可能需要跟蹤 Linux 上的新使用者建立資訊。同時,你可能需要通過郵件傳送詳細資訊。這或許是審計目標的一部分,或者安全團隊出於跟蹤目的可能希望對此進行監控。
我們可以通過其他方式進行此操作,正如我們在上一篇文章中已經描述的那樣。
Linux 有許多開源監控工具可以使用。但我不認為他們有辦法跟蹤新使用者建立過程,並在發生時提醒管理員。
那麼我們怎樣才能做到這一點?
我們可以編寫自己的 Bash 指令碼來實現這一目標。我們過去寫過許多有用的 shell 指令碼。如果你想了解,請進入下面的連結。
這將每天兩次(一天的開始和結束)備份 /etc/passwd
檔案,這將使你能夠獲取指定日期的新使用者建立詳細資訊。
我們需要新增以下兩個 cron 任務來複製 /etc/passwd
檔案。
# crontab -e1 0 * * * cp /etc/passwd /opt/scripts/passwd-start-$(date +"%Y-%m-%d")59 23 * * * cp /etc/passwd /opt/scripts/passwd-end-$(date +"%Y-%m-%d")
它使用 diff
命令來檢測檔案之間的差異,如果發現與昨日有任何差異,指令碼將向指定 email 傳送新使用者詳細資訊。
我們不用經常執行此指令碼,因為使用者建立不經常發生。但是,我們計劃每天執行一次此指令碼。
這樣,你可以獲得有關新使用者建立的綜合報告。
注意:我們在指令碼中使用了我們的電子郵件地址進行演示。因此,我們要求你用自己的電子郵件地址。
# vi /opt/scripts/new-user-detail.sh#!/bin/bashmv /opt/scripts/passwd-start-$(date --date='yesterday' '+%Y-%m-%d') /opt/scripts/passwd-startmv /opt/scripts/passwd-end-$(date --date='yesterday' '+%Y-%m-%d') /opt/scripts/passwd-enducount=$(diff /opt/scripts/passwd-start /opt/scripts/passwd-end | grep ">" | cut -d":" -f6 | cut -d"/" -f3 | wc -l)if [ $ucount -gt 0 ]then SUBJECT="ATTENTION: New User Account is created on server : `date --date='yesterday' '+%b %e'`" MESSAGE="/tmp/new-user-logs.txt" TO="[email protected]" echo "Hostname: `hostname`" >> $MESSAGE echo -e "\n" >> $MESSAGE echo "The New User Details are below." >> $MESSAGE echo "+------------------------------+" >> $MESSAGE diff /opt/scripts/passwd-start /opt/scripts/passwd-end | grep ">" | cut -d":" -f6 | cut -d"/" -f3 >> $MESSAGE echo "+------------------------------+" >> $MESSAGE mail -s "$SUBJECT" "$TO" < $MESSAGE rm $MESSAGEfi
給 new-user-detail.sh
檔案新增可執行許可權。
$ chmod +x /opt/scripts/new-user-detail.sh
最後新增一個 cron 任務來自動執行此操作。它在每天早上 7 點執行。
# crontab -e0 7 * * * /bin/bash /opt/scripts/new-user.sh
注意:你會在每天早上 7 點都會收到一封關於昨日詳情的郵件提醒。
輸出:輸出與下面的輸出相同。
# cat /tmp/new-user-logs.txtHostname: CentOS.2daygeek.comThe New User Details are below.+------------------------------+tuser3+------------------------------+