模拟sudo+rsyslog日志审计功能

生产环境日志审计解决方案

所谓日志审计,就是记录所有系统及相关用户行为的信息,并且可以自动分析、处理、展示(包括文本或者录像)

1) 通过环境变量命令及syslog服务进行全部日志审计(信息太大,不推荐)

2) Sudo配合syslog服务,进行日志审计(信息较少,效果不错)

3) 在bash解释器程序里嵌入一个监控器,让所有被审计的系统用户使用修改过的增加了监视器的特殊bash程序作为解释程序

4) 齐治的堡垒机:商业产品

Sudo日志审计:专门对使用sudo命令的系统用户记录其执行的命令相关信息

所谓sudo命令日志审计,并不记录普通用户的普通操作。而是记录,那些执行sudo命令的用户的操作。

1)          安装sudo命令,syslog服务(centos6.4为rsyslog)

[[email protected] ~]# rpm -qa sudo rsyslog

sudo-1.8.6p3-12.el6.x86_64

rsyslog-5.8.10-8.el6.x86_64

[[email protected] ~]# echo "Defaults  logfile=/var/log/sudo.log">>/etc/sudoers

[[email protected] ~]# tail -1 /etc/sudoers

Defaults  logfile=/var/log/sudo.log   ###将sudo的操作放入日志文件中

[[email protected] ~]# visudo -c  检查语法

/etc/sudoers:解析正确

[[email protected] ~]# echo "local2.debug  /var/log/sudo.log">>/etc/rsyslog.conf

在配置文件中指定一个local2设备打印级别debug把执行命令通过/rsyslog.写到sudo

[[email protected] ~]# /etc/init.d/rsyslog restart

关闭系统日志记录器:                                       [确定]

启动系统日志记录器:                                       [确定]

自动生成的文件

[[email protected] ~]# ll /var/log/sudo.log

-rw-------. 1 root root 0 8月  11 00:51 /var/log/sudo.log

[[email protected] ~]# su - chuji001

[[email protected] ~]$ sudo -l

[sudo] password for chuji001:

匹配此主机上 chuji001 的默认条目:

requiretty, !visiblepw, always_set_home, env_reset,

env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR

LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG

LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE

LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",

env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER

LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS

_XKB_CHARSET XAUTHORITY",

secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin,

logfile=/var/log/sudo.log

用户 chuji001 可以在该主机上运行以下命令:

(root) /usr/bin/free, /usr/bin/iostat, /usr/bin/top,

/bin/hostname, /sbin/ifconfig, /bin/netstat, /sbin/route

[[email protected] ~]$ sudo useradd aaaa

对不起,用户 chuji001 无权以 root 的身份在 test 上执行 /usr/sbin/useradd aaaa。

[[email protected] ~]# cat /var/log/sudo.log

Aug 11 00:53:58 : chuji001 : 3 次错误密码尝试 ; TTY=pts/2 ;

PWD=/home/chuji001 ; USER=root ; COMMAND=list

Aug 11 00:55:14 : chuji001 : TTY=pts/2 ; PWD=/home/chuji001 ; USER=root ;

COMMAND=list

Aug 11 00:56:24 : chuji001 : 命令禁止使用 ; TTY=pts/2 ; PWD=/home/chuji001

; USER=root ; COMMAND=/usr/sbin/useradd aaaa

时间: 2024-10-13 00:08:50

模拟sudo+rsyslog日志审计功能的相关文章

centos6 配置sudo命令日志审计

配置sudo命令日志审计 说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录那些执行sudo命令的用户的操作. 项目实战: 服务器日志审计项目提出与实施 权限方案实施后,权限得到了细化控制,接下来进一步实施以地所有用户日志记录方案. 通过sudo和syslog(rsyslog)配合实现对所有用户进行日志审计并将记录集中管理(发送到中心日志服务器). 实施后,让所有运维和开发的所有执行的sudo管理命令都记录可查,杜绝了内部人员的操作安全隐患 生产环境日志审记解决之案: 法1:通

给MariaDB开启日志审计功能

如果很多运维或者开发都分配了数据库的操作权限的话,某一天表或者字段丢失了都无法找到谁干的,这个锅只能运维来背了,因此有必要给数据库的操作记录保存下来. 下面来演示下如何操作: 软件版本: MariaDB10.0.17    (自带了server_audit插件) MariaDB审计日志写到文件 安装server_audit插件 登陆进MariaDB,执行: > show variables like '%plugin%';  查看插件存放的目录 cd /usr/local/mariadb/lib

Linux 6.8 sudo 日志审计

公司内Linux服务器启用了SUDO权限管理,但还是有一定的风险,所以为了便于管理和后续维护,开启sudo日志审计的功能,对用户执行的sudo命令的操作行为进行记录,但又不记录其他的命令. 一.rsyslog 全部操作日志审计,信息量大,不方便以后查阅,我们选择只对sudo进行日志审计. 二.使用rpm -qa 查询是否安装服务,若没有就使用yum install XXXX -y 安装服务 [[email protected] ~]# rpm -qa |grep sudo sudo-1.8.6p

Linux简单的日志审计

生产环境日志审计解决方案 所谓的日志审计,就是记录所有系统及相关的用户行为,并且可以自动分析.处理.展示(包括文本或者录像) 1)     :通过环境变量以及rsyslog服务进行全部日志审计(信息太大,不推荐) 2)     sudo配置rsyslog服务,进行日志审计(信息较少,效果不错) 3)     在bash解释器中嵌入一个监视器,让所有被审计的系统用户使用修改过的增加监视器的特殊bash程序作为解释程序. 4)     齐治的堡垒机:商业产品 在此文档中,我们学习第二种方法:sudo

(转)企业配置sudo命令用户行为日志审计

原文:https://www.cnblogs.com/Csir/p/6403830.html?utm_source=itdadao&utm_medium=referral 第15章 企业配置sudo命令用户行为日志审计 15.1 生产环境企业日志审计解决方案: 所谓日志审计,就是记录所有系统及相关用户行为的信息,并且可以自动分析.处理.展示(包括文本或录像) 下面是各种解决方案 l 通过环境变量命令及rsyslog服务进行所有用户的所有操作的全部日志审计(信息太大,不推荐) l sudo配合rs

单机sudo日志审计

##################################################### 本文内容来自<老男孩linux运维实战培训>学生-何旭东 如有转载,请务必保留本文链接及本内容版权信息. 欢迎广大运维同仁一起交流linux/unix网站运维技术! QQ:345078833 E-mail:[email protected] ##################################################### 老男孩linux运维实战培训中心 培训咨

日志审计策略配置audit

日志审计策略配置 1.   系统缺省已经开启syslog/rsyslog服务,禁止关闭.系统syslog/rsyslog服务会将所有系统日志自动记录到/var/log/messages文件中,系统日志永久保留. 2.   开启audit审计功能,可以监控指定用户或目录,缺省会监控root的所有登录和操作. l  添加规则到 /etc/audit/audit.rules(RHEL7为/etc/audit/rules.d/audit.rules) 文件中,实现监控所有用户的登录行为,包含用户所有操作

生产环境日志审计解决方案

思路:sudo 配合syslog 服务,进行日志审计 具体方法: 安装sudo命令,rsyslog服务(centos6.4) 注意:默认情况下,centos5.8系统中已安装上sudo和syslog服务 检查是否安装好,具体操作如下: [[email protected] ~]# rpm -qa |egrep "sudo|rsyslog" rsyslog-5.8.10-8.el6.i686 sudo-1.8.6p3-15.el6.i686 如果没有安装,则有yum进行安装: [[ema

linux日志审计项目案例实战(生产环境日志审计项目解决方案)

所谓日志审计,就是记录所有系统及相关用户行为的信息,并且可以自动分析.处理.展示(包括文本或者录像) 推荐方法:sudo配合syslog服务,进行日志审计(信息较少,效果不错) 1.安装sudo命令.syslog服务(centos6.4或以上为rsyslog服务) [[email protected]_back ~]#rpm -qa "sudo|syslog"   查询系统是否已安装sudo.syslog程序 rsyslog-5.8.10-8.el6.x86_64 sudo-1.8.6