<![CDATA[向东博客 专注WEB应用 构架之美 --- 构架之美,在于尽态极妍 | 应用之美,在于药到病除]]> http://www.jackxiang.com/index.php zh-cn http://www.jackxiang.com/post// <![CDATA[[实践OK] history命令追查登录的用户和时间,使用HISTTIMEFORMAT 显示history命令的时间戳。-bash: HISTTIMEFORMAT: readonly variable]]> jack <xdy108@126.com> Tue, 27 Jun 2017 15:02:51 +0000 http://www.jackxiang.com/post// /root/.bash_history

less /root/.bash_history
-----------------------------------------------------------------------------------------------------------------------------------------
vi /etc/profile

export HISTTIMEFORMAT="%F %T `who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` "
sudo su -
-bash: HISTTIMEFORMAT: readonly variable

cd /etc/profile.d/
grep -r "HISTTIMEFORMAT" ./
./hq.sh:        export HISTTIMEFORMAT="%Y.%m.%d-%H:%M:%S "
./hq.sh:        readonly HISTTIMEFORMAT HISTSIZE HISTFILE ORIGNALUSER USERIP IPLIST PROMPT_COMMAND

在这儿原来 vi /etc/profile.d/hq.sh:

#EXPORTS
        export HISTTIMEFORMAT="%Y.%m.%d-%H:%M:%S "
        export HISTSIZE=4096
        export HISTFILE="$histDir/${username}/${userIP}.hist.$DT"
        export ORIGNALUSER=`$ECHO $username`
        export USERIP=`$ECHO $userIP`
        export IPLIST=$(/sbin/ip ad sh |$GREP inet |$GREP -v inet6|awk -F' ' '{print $2}'|awk -F'/' '{print $1}' |
$GREP -v '127.0.0.1'|tr -s "\n" "," |sed "s/|$//g")
        export PROMPT_COMMAND='{ ec=$?; read seq time cmd < <(history 1); [ -z "$time" ] || { '$ECHO' "$time|$IPLI
ST|${ORIGNALUSER},$(whoami)|$(pwd)|$cmd|$ec|$USERIP" >> '$histDir'/`'$DATE' +%Y.%m.%d`_history; '$LOGGER' -t "audi
t.hist" -p 7 "$USERIP|${ORIGNALUSER}|$(whoami)|$(pwd)|$ec|$cmd"; } }'
        readonly HISTTIMEFORMAT HISTSIZE HISTFILE ORIGNALUSER USERIP IPLIST PROMPT_COMMAND


http://awesomeops.blogspot.com/2014/10/there-are-lot-of-possibilities-to-track.html

——————
后面遇到这种类似的,直接修改,这估计是开发加的:/etc/profile
把里的:

注释掉。
这里也有,文件在: /etc/profile.d/history.sh  #黄冶给想把命令加到ELK里,又不妨碍安全,于是得:rpm -qf `which chattr` ,yum install e2fsprogs -y , chattr -i  /etc/profile.d/hq.sh  ,把那个i的权限给去掉。


为何出现readonly的原因:

对于只读变量而言,若用户对其值进行修改,则会立即报错。例如,使用该指令定义一个只读变量"test",并且将其值初始化为"ok",输入如下命令:
readonly test='ok'
那么当用户直接修改该只读变量时,就会被报错,如下所示:
[root@localhost ~]# test='my' #试图修改只读变量的值 -bash: test: readonly variable
当用户试图修改只读变量的值时,会被提示该变量为只读变量。


实践:
readonly test='ok'  
test='my'
-bash: test: 只读变量



Linux查看History记录加时间,这个对于系统管理员还是很有帮助的,原因不解释,你懂得!
ora11g$ history  |  more  
1    rlwrap sqlplus / as sysdba
2    rlwrap sqlplus / as sysdba
3    date
4    rlwrap sqlplus / as sysdba
  但是这里只显示了命令,并没有显示执行命令的时间,因为保存历史命令的~/.bash_history里并没有保存时间。  
通过设置环境变量 export HISTTIMEFORMAT="%F %T `whoami` " 给history加上时间戳  
ora11g$ export HISTTIMEFORMAT="%F %T `whoami` "  
ora11g$ history
1  2014-03-25 21:29:53 oracle rlwrap sqlplus / as sysdba
2  2014-03-25 21:29:59 oracle rlwrap sqlplus / as sysdba  
3 2014-03-25 21:31:23 oracle date
4 2014-03-25 21:31:43oracle rlwrap sqlplus / as sysdba
可以看到,历史命令的时间,用户已经加上了,但是.bash_history里并没有加上这个时间。
其实这个时间记录是保存在当前shell进程内存里的,如果你logout并且重新登录的话会发现你上次登录时执行的那些命令的时间戳都为同一个值,即当时logout时的时间。  

尽管如此,对于加上screen的bash来说,这个时间戳仍然可以长时间有效的,毕竟只要你的server不重启,screen就不会退出,因而这些时间就能长时间保留。
你在root用户下也可以使用echo 'export HISTTIMEFORMAT="%F %T `whoami` "' >> /etc/profile 然后source一下就OK


===
当你从命令行执行 history 命令后,通常只会显示已执行命令的序号和命令本身。如果你想要查看命令历史的时间戳,那么可以执行:


# export HISTTIMEFORMAT='%F %T '
# history | more
1 2008-08-05 19:02:39 service network restart
2 2008-08-05 19:02:39 exit
3 2008-08-05 19:02:39 id
4 2008-08-05 19:02:39 cat /etc/redhat-release

注意:这个功能只能用在当 HISTTIMEFORMAT 这个环境变量被设置之后,之后的那些新执行的 bash 命令才会被打上正确的时间戳。在此之前的所有命令,都将会显示成设置 HISTTIMEFORMAT 变量的时间。

来自:
http://blog.csdn.net/needle2/article/details/7490583
http://blog.itpub.net/27144762/viewspace-1129567/ ]]> http://www.jackxiang.com/post//#blogcomment <![CDATA[[评论] [实践OK] history命令追查登录的用户和时间,使用HISTTIMEFORMAT 显示history命令的时间戳。-bash: HISTTIMEFORMAT: readonly variable]]> <user@domain.com> Thu, 01 Jan 1970 00:00:00 +0000 http://www.jackxiang.com/post//#blogcomment