原文：https://www.cnblogs.com/Csir/p/6403830.html?utm_source=itdadao&utm_medium=referral

第15章 企業配置sudo命令用戶行為日誌審計

15.1 生產環境企業日誌審計解決方案：

所謂日誌審計，就是記錄所有系統及相關用戶行為的信息，並且可以自動分析、處理、展示（包括文本或錄像）

下面是各種解決方案

l 通過環境變量命令及rsyslog服務進行所有用戶的所有操作的全部日誌審計（信息太大，不推薦）

l sudo配合rsyslog服務,進行sudo日誌審計（審計信息較少，效果不錯）。

l 在bash解釋器程序裏嵌入一個監視器，讓所有被審計的系統用戶使用修改過的增加了監視器的特殊bash程序作為解釋程序。

l 齊治堡壘機：商業產品

l python開發的開源產品：CrazyEye

http://3060674.blog.51cto.com/3050674/1700814

l 開源跳板機（堡壘機）Jumpserver部署詳解

http://blog.51cto.com/zt/658

l gateone web 跳板機

http://liftoffsoftware.com/Products/GateOne

sudo日誌審計是專門對使用sudo命令的系統用戶記錄其執行的命令相關信息

15.2 服務器用戶權限管理改造方案與實施項目

1. 提出權限整改解決方案改進公司超級權限root泛濫的現狀。

2. 召集大家開會討論確定方案後推進實施。

3. 實施後使得公司的權限管理更加表晰了（總結維護），從根本上降低了內部操作等不規範

15.3 服力器日誌審計項目提出與實施

1. 權限控制後進一步實施對所有用戶日誌記錄方案。

2. 通過sudo和syslog配合實現對所有用戶進行日誌審計並將記錄集中管理。

3. 實施後讓所有運維和開發的所有執行的命令都有記錄可查，杜絕了內部人員的操作安全隱民患。

第16章 sudo日誌審計

16.1 配置/etc/sudoers

一行即搞定

[root@34moban ~]# echo "Defaults logfile=/var/log/sudo.log" >/etc/sudoers

[root@34moban ~]# tail -1 /etc/sudoers

Defaults logfile=/var/log/sudo.log

[root@34moban ~]# visudo -c

/etc/sudoers: parsed OK

16.2 日誌集中管理（了解）：

1. rsync+inotify或定時任務+rsync，推到日誌管理服務器上，10.0.0.7_20130302.sudo.log

2. rsyslog服務來處理。

echo "10.0.2.164 logserver" >> /etc/hosts

#日誌服務器地址

echo "*.info @logserver" >> /etc/syslog.conf ?適合所有日誌推走

3. 日誌收集解決方案 scribe,Flume,stom,logstash ELK

博主的linux交流群：605799367

(轉)企業配置sudo命令用戶行為日誌審計