在企業級Linux運維中，實時記錄用戶操作歷史是審計排查的關鍵步驟。本文華納云針對CentOS7系統，提供三種高效方案實現分用戶日志記錄+防篡改管理。所有步驟均經過實際驗證，代碼段內含執行邏輯剖析。

一、核心原理剖析

1. 原生歷史記錄缺陷 (~/.bash_history)

默認延遲寫入：會話退出后才保存命令

易被清空：用戶可通過history -c或刪除文件清除記錄

混合存儲：不同用戶命令混合在同一文件

2. 改進方案設計要點

實時寫入：通過PROMPT_COMMAND變量實現逐條記錄

獨立日志：按用戶名生成隔離文件

權限控制：僅允許追加寫入(chattr +a)

完整元數據：記錄時間/IP/用戶等上下文信息

二、實戰配置流程 (推薦方案)

步驟1：創建受保護日志目錄

sudo mkdir -p /var/log/command_audit  #創建統一存放目錄
sudo chmod 755 /var/log/command_audit  #設置為全局可讀但不可寫
sudo chown root:root /var/log/command_audit  #權限歸屬root
sudo chattr +a /var/log/command_audit  #啟用僅追加模式防止刪除

代碼說明：

chattr +a鎖定文件屬性，用戶無法刪除或修改現有內容

/var/log為系統日志規范存放位置，便于統一管理

步驟2：全局配置腳本部署

新建配置文件：

sudo vim /etc/profile.d/command_logger.sh

內容模板?：

# 定義日志格式
export HISTTIMEFORMAT="%F %T `whoami` "  #時間戳+用戶標識
# 實時寫入邏輯
export PROMPT_COMMAND='
 CURRENT_CMD=$(history 1 | sed "s/^[ ]*//g");  #提取最新命令
 echo "${CURRENT_CMD}" | tee -a 
 "/var/log/command_audit/`whoami`-$(date +%Y%m%d).log"
 >/dev/null 2>&1'  #按天分文件記錄

代碼說明：

PROMPT_COMMAND：每次新命令行提示符出現前觸發執行

tee -a：同時輸出到屏幕和日志（防丟失）

whoami與date：動態生成帶用戶+日期的唯一文件名

步驟3：權限加固與審計優化

設置日志防篡改：

sudo touch /var/log/command_audit/*.log  #初始化空文件
sudo chmod 640 /var/log/command_audit/*.log  #僅root可寫，用戶只讀
sudo chattr +a /var/log/command_audit/*.log  #強制追加模式

三、附加安全防護技巧

1. 增強版元數據記錄

修改PROMPT_COMMAND添加更多審計信息：

export PROMPT_COMMAND='
 REMOTE_IP=$(echo ${SSH_CONNECTION} | awk "{print $1}");  #獲取客戶端IP
 LOG_TIME=$(date "+%Y-%m-%d %H:%M:%S");  #精確到秒的時間
 CMD_CONTENT=$(history 1 | sed "s/^[ ]*//g");  #提取命令
 echo "${LOG_TIME} | ${REMOTE_IP} | ${USER} | ${CMD_CONTENT}" 
 >> /var/log/command_audit/${USER}.audit.log'

2. 定期日志轉儲策略

新增logrotate配置文件：

sudo vim /etc/logrotate.d/command_audit 

內容模板：

/var/log/command_audit/*.log {
    daily        #每日切割
    rotate 90    #保留90天
    compress     #啟用壓縮
    missingok    #允許文件不存在
    notifempty   #空文件不處理
}

四、效果驗證與問題排查

1. 實時驗證

新開終端執行：

tail -f /var/log/command_audit/testuser.log  #實時追蹤日志

2. 關鍵故障點分析

權限不足：檢查chattr +a和目錄所有權

SELinux攔截：查看/var/log/audit/audit.log過濾關鍵字

時區錯誤：使用timedatectl確認系統時間配置

多會話覆蓋：確認shopt -s histappend已啟用歷史追加模式

五、擴展應用場景

容器環境適配：Docker鏡像構建時預置配置

自動化巡檢：通過ELK搭建集中式日志分析平臺

高危命令告警：結合grep實時監控rm -rf等危險操作