配置sudo命令日誌審計

說明：所謂sudo命令日誌審計，並不記錄普通用戶的普通操作，而是記錄那些執行sudo命令的用戶的操作。

項目實戰：

服務器日誌審計項目提出與實施

1. 權限方案實施後，權限得到了細化控制，接下來進一步實施以地所有用戶日誌記錄方案。

2. 通過sudo和syslog(rsyslog)配合實現對所有用戶進行日誌審計並將記錄集中管理(發送到中心日誌服務器)、

3. 實施後，讓所有運維和開發的所有執行的sudo管理命令都記錄可查，杜絕了內部人員的操作安全隱患

生產環境日誌審記解決之案：

法1：通過環境變量命令及syslog服務進行全部日誌審記(信息太大，不推薦)

法2：sudo配命syslog服務，進行日誌審計

法3：在bash解釋器程序裏嵌入一個監視器，讓所有被審記的系統用戶使用修改過的增加了監視器的特殊bash程序作為解釋程序

法4：齊治的堡壘機：商業產品

現在我們用的sudo日誌審記，專門對使用sudo命令的系統用戶記錄其執行的命令相關信息

★centos6系統配置日審記

1. 1. 安裝sudo命令，syslog服務(centos6.4為rsyslog服務)

[[email protected] ~]# rpm -aq|egrep"sudo|rsyslog"
rsyslog-5.8.10-6.el6.x86_64
sudo-1.8.6p3-7.el6.x86_64

如果沒有安裝則執行下面的命令安裝

yum install sudo rsyslog –y

2. 配置系統日誌/etc/syslog.conf

Centos6系統的rsyslog.conf的配置文件路徑是/etc/rsyslog.conf
[[email protected] ~]# echo "local2.debug/var/log/sudo.log">>/etc/rsyslog.conf
[[email protected] ~]# tail -1 /etc/rsyslog.conf
local2.debug /var/log/sudo.log

3. 配置/etc/sudoers

增加配置”Defaults logfile=/var/log/sudo.log”到

[[email protected] ~]# echo "Defaults    logfile=/var/log/sudo.log">>/etc/sudoers
[[email protected] ~]# tail -1 /etc/sudoers
Defaults    logfile=/var/log/sudo.log
[[email protected] ~]# visudo -c
/etc/sudoers: parsed OK

4. 重啟syslog內核日誌記錄器

[[email protected] ~]# /etc/init.d/rsyslogrestart
Shutting down system logger:                               [  OK  ]
Starting system logger:                                    [  OK  ]

5. 測試 sudo日誌審計配置結果

用戶tom擁有root ALL權限，用戶bobo擁有/usr/sbin/useradd,/usr/sbin/passwd權限

[[email protected] ~]$ sudo useradd bobo
 
We trust you have received the usuallecture from the local System
Administrator. It usually boils down tothese three things:
 
   #1) Respect the privacy of others.
   #2) Think before you type.
   #3) With great power comes great responsibility.
.
[sudo] password for tom:
[[email protected] ~]$ sudo passwd bobo
Changing password for user bobo.
New password:
Retype new password:
passwd: all authentication tokens updatedsuccessfully.
 
[[email protected] ~]$ sudo useradd qwe
[[email protected] ~]$ sudo passwd qwe
Changing password for user qwe.
New password:
Retype new password:
passwd: all authentication tokens updatedsuccessfully.
 
 
[[email protected] ~]# cat /var/log/sudo.log
Dec 28 23:14:14 : tom : TTY=pts/0 ;PWD=/home/tom ; USER=root ;
   COMMAND=/usr/sbin/useradd bobo
Dec 28 23:14:21 : tom : TTY=pts/0 ;PWD=/home/tom ; USER=root ;
   COMMAND=/usr/bin/passwd bobo
Dec 28 23:23:18 : tom : 1 incorrectpassword attempt ; TTY=pts/0 ; PWD=/home/tom
    ;USER=root ; COMMAND=/usr/sbin/useradd bobo
Dec 28 23:23:21 : tom : TTY=pts/0 ;PWD=/home/tom ; USER=root ;
   COMMAND=/usr/sbin/useradd bobo
Dec 28 23:24:11 : mary : TTY=pts/0 ;PWD=/home/mary ; USER=root ; COMMAND=list
Dec 28 23:24:30 : mary : command notallowed ; TTY=pts/0 ; PWD=/home/mary ;
   USER=root ; COMMAND=/usr/bin/passwd
Dec 28 23:24:40 : mary : command notallowed ; TTY=pts/0 ; PWD=/home/mary ;
    USER=root ; COMMAND=/usr/bin/passwd
Dec 28 23:24:53 : mary : command notallowed ; TTY=pts/0 ; PWD=/home/mary ;
   USER=root ; COMMAND=/usr/bin/passwd mary
Dec 28 23:25:35 : mary : TTY=pts/0 ;PWD=/home/mary ; USER=root ;
   COMMAND=/usr/sbin/useradd qwe
Dec 28 23:25:46 : mary : command notallowed ; TTY=pts/0 ; PWD=/home/mary ;
   USER=root ; COMMAND=/usr/bin/passwd qwe

本文出自 “Mr.Xiong`s 運維日誌” 博客，請務必保留此出處http://mrxiong2017.blog.51cto.com/12559394/1931540

centos6 配置sudo命令日誌審計