linux使用者行為日誌審計方案
阿新 • • 發佈:2019-01-21
今天學習了了sudo日誌審計,專門對使用sudo命令系統的使用者記錄其執行的相關命令資訊
說明:所謂sudo命令日誌審計,不記錄普通使用者操作,而是記錄執行sudo命令的使用者操作
1、安裝sudo命令,syslog服務
| 123 | [[email protected] ~]# rpm -qa |egrep "sudo|syslog"rsyslog-5.8.10-10.el6_6.x86_64sudo-1.8.6p3-29.el6_9.x86_64 |
如果沒有安裝則執行下面的安裝命令;
| 1 | [[email protected] ~]# yum install sudo rsyslog -y |
2、配置/etc/sudoers
增加配置"Defaults logfile=/var/log/sudo.log"到/etc/sudoers中
| 123456 | [[email protected] ~]# echo "Defaults logfile=/var/log/sudo.log" >>/etc/sudoers #追加到檔案結尾[[email protected] ~]# tail -1 /etc/sudoersDefaults logfile=/var/log/sudo.log[[email protected] ~]# visudo -c #檢查sudoers檔案語法/etc/sudoers: parsed OK[[email protected] ~]# |
注:下面的3,4可以不執行,直接切到普通使用者,然後檢視/var/log/sudo.log有無操作
3、配置系統日誌/etc/rsyslog.conf
增加配置local2.debug到/etc/rsyslog.conf中
| 123 | [[email protected] ~]# echo "ocal2.debug /var/log/sudo.log" >>/etc/rsyslog.conf [[email protected] ~]# tail -1 /etc/rsyslog.conf ocal2.debug /var/log/sudo.log |
4、重啟syslog核心日誌記錄器
| 123 | [[email protected] ~]# /etc/init.d/rsyslog restartShutting down system logger: [ OK ]Starting system logger: [ OK ] |
此時,會自動建立一個/var/log/sudo.log 檔案(日誌中配置的名字)並用檔案許可權為600,所有者和組均為root
5、測試sudo日誌審計結果
本文以efg使用者為例:
| 12345678910 | [[email protected] ~]# cat /etc/sudoers |grep efg #檢視suoders配置檔案裡efg使用者的許可權efg ALL=(ALL) /bin/rm,/bin/userdel,/bin/touch[[email protected] ~]$ sudo mkdir kgk[sudo] password for efg: Sorry, user efg is not allowed to execute '/bin/mkdir kgk' as root on qzj. #提示沒有許可權建立kgk檔案[[email protected] ~]$ sudo touch 123kkk[sudo] password for efg: [[email protected] ~]$ ls12 123kdk 12kgdk gxl |
6、檢視日誌統計結果:
| 1234567 | [[email protected] ~]# cat /var/log/sudo.log Oct 13 18:48:48 : efg : command not allowed ; TTY=pts/2 ; PWD=/home/efg ;USER=root ; COMMAND=/bin/mkdir kgkOct 13 18:49:06 : efg : TTY=pts/2 ; PWD=/home/efg
|