Linux系统的sudo日志审计怎么配置
本文小编为大家详细介绍“Linux系统的sudo日志审计怎么配置”,内容详细,步骤清晰,细节处理妥当,希望这篇“Linux系统的sudo日志审计怎么配置”文章能帮助大家解决疑惑,下面跟着小编的思路慢慢深入,一起来学习新知识吧。
创新互联专注于大田企业网站建设,成都响应式网站建设,商城网站定制开发。大田网站建设公司,为大田等地区提供建站服务。全流程按需搭建网站,专业设计,全程项目跟踪,创新互联专业和态度为您提供的服务
一:生产环境中日志审计方案如下:
1、syslog全部操作日志审计,此种方法信息量大,不便查看
2、sudo日志配合syslog服务进行日志审计
3、堡垒机日志审计
4、bash安装监视器,记录用户使用操作
二:配置sudo日志审计
1、安装sudo与syslog服务
[root@Centos ~]# rpm -qa|grep sudo
sudo-1.8.6p3-24.el6.x86_64
[root@Centos ~]# rpm -qa|grep rsyslog
rsyslog-5.8.10-10.el6_6.x86_64
检查是否安装两种服务,如果没有安装,就使用下面的命令进行安装
yum install sudo -y
yum install rsyslog -y
备注:Centos 5.x 为syslog,Centos 6.x 为rsyslog
2、配置服务
创建日志保存目录
[root@Centos ~]# mkdir -p /var/log/
服务器环境查看
[root@Centos ~]# cat /etc/redhat-release
CentOS release 6.5 (Final)
[root@Centos ~]# uname -r
2.6.32-431.el6.x86_64
服务器环境为centos 6.5 所以syslog日志配置文件为/etc/rsyslog.conf
[root@Centos ~]#echo "local2.debug /var/log/sudo.log">>/etc/rsyslog.conf
查看配置
[root@Centos ~]# tail -1 /etc/rsyslog.conf
local2.debug /var/log/sudo.log
如果服务器为centos 5.x 所以syslog日志配置文件为/etc/syslog.conf
[root@Centos ~]#echo "local2.debug /var/log/sudo.log">>/etc/syslog.conf
[root@Centos ~]#echo "Defaults logfile=/var/log/sudo.log">>/etc/sudoers
查看配置
[root@Centos ~]# tail -1 /etc/syslog.conf
local2.debug /var/log/sudo.log
3、配置/etc/sudoers
[root@Centos ~]# echo "Defaults logfile=/var/log/sudo.log">>/etc/sudoers
[root@Centos ~]# tail -1 /etc/sudoers
Defaults logfile=/var/log/sudo.log
4、重启服务
[root@Centos ~]# /etc/init.d/rsyslog restart
Shutting down system logger: [ OK ]
Starting system logger: [ OK ]
三:测试日记审计结果
[root@Centos ~]# su - cjkaifa001
[cjkaifa001@Centos ~]$ pwd
/home/cjkaifa001
[cjkaifa001@Centos ~]$ touch 123.txt
[cjkaifa001@Centos ~]$ sudo ls
123.txt
[cjkaifa001@Centos ~]$ cat /var/log/sudo.log
cat: /var/log/sudo.log: Permission denied
直接使用cat命令提示权限不足
[cjkaifa001@Centos ~]$ sudo cat /var/log/sudo.log 使用sudo提权后可查看
Sep 11 02:41:50 : cjkaifa001 : TTY=pts/1 ; PWD=/home/cjkaifa001 ; USER=root ;
COMMAND=/bin/ls
Sep 11 02:44:57 : cjkaifa001 : TTY=pts/1 ; PWD=/home/cjkaifa001 ; USER=root ;
COMMAND=/bin/cat /var/log/sudo.log
经过测试能正常记录用户使用sudo的操作日志记录,其它命令没有记录
[root@Centos ~]# rm -rf /var/log/sudo.log
[root@Centos ~]# /etc/init.d/rsyslog stop
Shutting down system logger: [ OK ]
[root@Centos ~]# su - cjkaifa001
[cjkaifa001@Centos ~]$ cd /
[cjkaifa001@Centos /]$ pwd
/
[cjkaifa001@Centos /]$ ls /root
ls: cannot open directory /root: Permission denied
[cjkaifa001@Centos /]$ sudo ls /root
[sudo] password for cjkaifa001:
anaconda-ks.cfg dead.letter Downloads install.log.syslog Public Videos
backup Desktop etc.tar.gz.2016 Music tar.gz.20160820
data Documents install.log Pictures Templates
[cjkaifa001@Centos /]$ cat /var/log/sudo.log
cat: /var/log/sudo.log: Permission denied
[cjkaifa001@Centos /]$ sudo cat /var/log/sudo.log
[sudo] password for cjkaifa001:
Sep 11 03:24:39 : cjkaifa001 : TTY=pts/1 ; PWD=/ ; USER=root ; COMMAND=/bin/ls
/root
Sep 11 03:30:57 : cjkaifa001 : TTY=pts/1 ; PWD=/ ; USER=root ; COMMAND=/bin/cat
/var/log/sudo.log
经过测试,直接停掉rsyslog服务,只配置/etc/sudoers也可以记录用户sudo提权操作日志记录
读到这里,这篇“Linux系统的sudo日志审计怎么配置”文章已经介绍完毕,想要掌握这篇文章的知识点还需要大家自己动手实践使用过才能领会,如果想了解更多相关内容的文章,欢迎关注创新互联行业资讯频道。
文章题目:Linux系统的sudo日志审计怎么配置
链接地址:http://scjbc.cn/article/jgsois.html