(转)企业配置sudo命令用户行为日志审计

原文:https://www.cnblogs.com/Csir/p/6403830.html?utm_source=itdadao&utm_medium=referral

第15章 企业配置sudo命令用户行为日志审计

15.1 生产环境企业日志审计解决方案:

所谓日志审计,就是记录所有系统及相关用户行为的信息,并且可以自动分析、处理、展示(包括文本或录像)

下面是各种解决方案

l 通过环境变量命令及rsyslog服务进行所有用户的所有操作的全部日志审计(信息太大,不推荐)

l sudo配合rsyslog服务,进行sudo日志审计(审计信息较少,效果不错)。

l 在bash解释器程序里嵌入一个监视器,让所有被审计的系统用户使用修改过的增加了监视器的特殊bash程序作为解释程序。

l 齐治堡垒机:商业产品

l python开发的开源产品:CrazyEye

http://3060674.blog.51cto.com/3050674/1700814

l 开源跳板机(堡垒机)Jumpserver部署详解

http://blog.51cto.com/zt/658

gateone web 跳板机

http://liftoffsoftware.com/Products/GateOne

sudo日志审计是专门对使用sudo命令的系统用户记录其执行的命令相关信息

15.2 服务器用户权限管理改造方案与实施项目

1. 提出权限整改解决方案改进公司超级权限root泛滥的现状。

2. 召集大家开会讨论确定方案后推进实施。

3. 实施后使得公司的权限管理更加表晰了(总结维护),从根本上降低了内部操作等不规范

15.3 服力器日志审计项目提出与实施

1. 权限控制后进一步实施对所有用户日志记录方案。

2. 通过sudo和syslog配合实现对所有用户进行日志审计并将记录集中管理。

3. 实施后让所有运维和开发的所有执行的命令都有记录可查,杜绝了内部人员的操作安全隐民患。

第16章 sudo日志审计

16.1 配置/etc/sudoers

一行即搞定

[[email protected] ~]# echo "Defaults logfile=/var/log/sudo.log" >/etc/sudoers

[[email protected] ~]# tail -1 /etc/sudoers

Defaults logfile=/var/log/sudo.log

[[email protected] ~]# visudo -c

/etc/sudoers: parsed OK

16.2 日志集中管理(了解):

1. rsync+inotify或定时任务+rsync,推到日志管理服务器上,10.0.0.7_20130302.sudo.log

2. rsyslog服务来处理。

echo "10.0.2.164 logserver" >> /etc/hosts

#日志服务器地址

echo "*.info @logserver" >> /etc/syslog.conf ?适合所有日志推走

3. 日志收集解决方案 scribe,Flume,stom,logstash ELK

博主的linux交流群:605799367

原文地址:https://www.cnblogs.com/liujiacai/p/8146538.html

时间: 2024-10-05 22:17:25

(转)企业配置sudo命令用户行为日志审计的相关文章

centos6 配置sudo命令日志审计

配置sudo命令日志审计 说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录那些执行sudo命令的用户的操作. 项目实战: 服务器日志审计项目提出与实施 权限方案实施后,权限得到了细化控制,接下来进一步实施以地所有用户日志记录方案. 通过sudo和syslog(rsyslog)配合实现对所有用户进行日志审计并将记录集中管理(发送到中心日志服务器). 实施后,让所有运维和开发的所有执行的sudo管理命令都记录可查,杜绝了内部人员的操作安全隐患 生产环境日志审记解决之案: 法1:通

Linux系统技巧|对于Linux系统管理员有用的 sudoers 配置|如何配置 sudo 命令在运行时而不输入密码

本文标签:  Linux系统技巧 配置sudo命令 sudoers文件 Linux用户权限   互联网杂谈 假设你在只有自己使用的计算机上运行 Linux 系统,比如在笔记本电脑上,在每次调用 sudo 时需要输入密码,长期下来就会觉得很乏味.因此,在本指南中,我们将描述如何配置 sudo 命令在运行时而不输入密码. 此设置在 /etc/sudoers 文件中完成,这是使用 sudo命令的默认安全策略;在用户权限指定部分. 重要:在 sudeors 文件中,默认打开的 authenticate

​权限命令,sudo命令,用户管理命令,特殊权限

权限命令 chmod 777 /文件 或chmod u+x,g-r+,o=w /文件-R递归 权限:删除一个文件必须对该文件所在目录有w权限 ,目录权限优于文件权限   目录必须有x权限,不然无法cd,可以ls一级只有root和文件所有者可以chmod,只有root可以改变文件所有者 chown 用户名 /文件 chgrp 用户名/文件 umask -S [[email protected] home]# umask -S u=rwx,g=rx,o=rx查看权限缺省值,新建的文件都没有x权限,因

配置sudo命令行为审计

1.检查是否安装 rpm -aq sudo rsyslog #检验是否安装此软件 ***如果没有需执行(yum install sudo rsyslog -y)安装*** 2.配置审计 echo "Defaults logfile = /var/log/sudo.log" >> /etc/sudoers ***sudo审计只有用户通过sudo执行命令时(成功或失败都有)才会有记录*** 原文地址:https://www.cnblogs.com/wangguangtao/p/

Linux用户行为日志审计

http://my.oschina.net/xiangpang/blog/532999 http://my.oschina.net/chaichuan/blog/508494 http://my.oschina.net/leejun2005/blog/292709 http://my.oschina.net/u/1590519/blog/336127

linux sudo 命令

简单的说,sudo 是一种权限管理机制,管理员可以授权于一些普通用户去执行一些 root 执行的操作,而不需要知道 root 的密码.严谨些说,sudo 允许一个已授权用户以超级用户或者其它用户的角色运行一个命令.当然,能做什么不能做什么都是通过安全策略来指定的.sudo 支持插件架构的安全策略,并能把输入输出写入日志.第三方可以开发并发布自己的安全策略和输入输出日志插件,并让它们无缝的和 sudo 一起工作.默认的安全策略记录在 /etc/sudoers 文件中.而安全策略可能需要用户通过密码

Linux简单的日志审计

生产环境日志审计解决方案 所谓的日志审计,就是记录所有系统及相关的用户行为,并且可以自动分析.处理.展示(包括文本或者录像) 1)     :通过环境变量以及rsyslog服务进行全部日志审计(信息太大,不推荐) 2)     sudo配置rsyslog服务,进行日志审计(信息较少,效果不错) 3)     在bash解释器中嵌入一个监视器,让所有被审计的系统用户使用修改过的增加监视器的特殊bash程序作为解释程序. 4)     齐治的堡垒机:商业产品 在此文档中,我们学习第二种方法:sudo

Linux用户配置sudo权限(visudo)

sudo的工作过程如下: 1,当用户执行sudo时,系统会主动寻找/etc/sudoers文件,判断该用户是否有执行sudo的权限 2,确认用户具有可执行sudo的权限后,让用户输入用户自己的密码确认 3,若密码输入成功,则开始执行sudo后续的命令 4,root执行sudo时不需要输入密码(eudoers文件中有配置root ALL=(ALL) ALL这样一条规则) 5,若欲切换的身份与执行者的身份相同,也不需要输入密码 visudo使用vi打开/etc/sudoers文件,但是在保存退出时,

Linux sudo命令——sudoers文件的配置

Linux sudo命令与其配置文件/etc/sudoers 对linux有一定了解的人多少也会知道点关于sudo命令.sudo命令核心思想是权限的赋予 ,即某个命令的所属用户不是你自己,而你却有权限执行它.但是我们需要注意的是,虽然你有权限执行这个命令,但是在执行的时候却仍是以这个命令本身所属用户来完成的[注释1].(su命令类似sudo命令,但是两者的差别在于前者su是一个粗粒度权限赋予, 对su最好的理解我觉得是change user running command permanent.即