linux使用者行為日誌審計方案
阿新 • • 發佈:2019-01-21
今天學習了了sudo日誌審計,專門對使用sudo命令系統的使用者記錄其執行的相關命令資訊
說明:所謂sudo命令日誌審計,不記錄普通使用者操作,而是記錄執行sudo命令的使用者操作
1、安裝sudo命令,syslog服務
123 | [[email protected] ~] # rpm -qa |egrep "sudo|syslog" rsyslog-5.8.10-10.el6_6.x86_64 sudo -1.8.6p3-29.el6_9.x86_64 |
如果沒有安裝則執行下面的安裝命令;
1 | [[email protected] ~] # yum install sudo rsyslog -y |
2、配置/etc/sudoers
增加配置"Defaults logfile=/var/log/sudo.log"到/etc/sudoers中
123456 | [[email protected] ~] # echo "Defaults logfile=/var/log/sudo.log" >>/etc/sudoers #追加到檔案結尾 [[email protected] ~] # tail -1 /etc/sudoers Defaults logfile= /var/log/sudo .log [[email protected] ~] # visudo -c #檢查sudoers檔案語法 /etc/sudoers : parsed OK [[email protected] ~] # |
注:下面的3,4可以不執行,直接切到普通使用者,然後檢視/var/log/sudo.log有無操作
3、配置系統日誌/etc/rsyslog.conf
增加配置local2.debug到/etc/rsyslog.conf中
123 | [[email protected] ~] # echo "ocal2.debug /var/log/sudo.log" >>/etc/rsyslog.conf [[email protected] ~] # tail -1 /etc/rsyslog.conf ocal2.debug /var/log/sudo .log |
4、重啟syslog核心日誌記錄器
123 | [[email protected] ~] # /etc/init.d/rsyslog restart Shutting down system logger: [ OK ] Starting system logger: [ OK ] |
此時,會自動建立一個/var/log/sudo.log 檔案(日誌中配置的名字)並用檔案許可權為600,所有者和組均為root
5、測試sudo日誌審計結果
本文以efg使用者為例:
12345678910 | [[email protected] ~] # cat /etc/sudoers |grep efg #檢視suoders配置檔案裡efg使用者的許可權 efg ALL=(ALL) /bin/rm , /bin/userdel , /bin/touch [[email protected] ~]$ sudo mkdir kgk [ sudo ] password for efg: Sorry, user efg is not allowed to execute '/bin/mkdir kgk' as root on qzj. #提示沒有許可權建立kgk檔案 [[email protected] ~]$ sudo touch 123kkk [ sudo ] password for efg: [[email protected] ~]$ ls 12 123kdk 12kgdk gxl |
6、檢視日誌統計結果:
1234567 | [[email protected] ~] # cat /var/log/sudo.log Oct 13 18:48:48 : efg : command not allowed ; TTY=pts /2 ; PWD= /home/efg ; USER=root ; COMMAND= /bin/mkdir kgk Oct 13 18:49:06 : efg : TTY=pts /2 ; PWD= /home/efg
|