公司内Linux服务器启用了SUDO权限管理,但还是有一定的风险,所以为了便于管理和后续维护,开启sudo日志审计的功能,对用户执行的sudo命令的操作行为进行记录,但又不记录其他的命令。
一、rsyslog 全部操作日志审计,信息量大,不方便以后查阅,我们选择只对sudo进行日志审计。
二、使用rpm -qa 查询是否安装服务,若没有就使用yum install XXXX -y 安装服务
[[email protected] ~]# rpm -qa |grep sudo sudo-1.8.6p3-25.el6_8.x86_64 [[email protected] ~]# rpm -qa |grep rsyslog rsyslog-5.8.10-10.el6_6.x86_64
三、查看当前服务器环境
[[email protected] ~]# cat /etc/redhat-release CentOS release 6.8 (Final) [[email protected] ~]# uname -r 2.6.32-642.6.2.el6.x86_64
四、配置rsyslog.conf
[[email protected] ~]# echo "local2.debug /var/log/sudo.log">>/etc/rsyslog.conf [[email protected] ~]# tail -1 /etc/rsyslog.conf local2.debug /var/log/sudo.log
五、配置/etc/sudoers
[[email protected] ~]# echo "Defaults logfile=/var/log/sudo.log">>/etc/sudoers [[email protected] ~]# tail -1 /etc/sudoers Defaults logfile=/var/log/sudo.log
六、重启rsyslog服务
[[email protected] ~]# /etc/init.d/rsyslog restart Shutting down system logger: [ OK ] Starting system logger: [ OK ]
七、切换到普通用户操作
[[email protected] ~]# su - yangya [[email protected] ~]$ pwd /home/yangya [[email protected] ~]$ touch aaaa.py [[email protected] ~]$ sudo ls 123.txt aaaa.py [[email protected] ~]$ cat aaaa.py [[email protected]b2iZ ~]$ cat /var/log/sudo.log cat: /var/log/sudo.log: Permission denied
八、使用特权查看sudo.log内容是否有上述操作
[[email protected] ~]$ sudo cat /var/log/sudo.log May 18 09:53:51 : yangya : TTY=pts/1 ; PWD=/home/yangya ; USER=root ; COMMAND=/bin/ls May 18 09:54:04 : yangya : TTY=pts/1 ; PWD=/home/yangya ; USER=root ; COMMAND=/bin/cat /var/log/sudo.log May 18 09:55:02 : yangya : TTY=pts/1 ; PWD=/home/yangya ; USER=root ; COMMAND=/bin/su - May 18 10:06:18 : yangya : TTY=pts/1 ; PWD=/home/yangya ; USER=root ; COMMAND=/bin/ls May 18 10:07:31 : yangya : TTY=pts/1 ; PWD=/home/yangya ; USER=root ; COMMAND=/bin/cat /var/log/sudo.log
附:
直接停掉rsyslog服务,只配置/etc/sudoers也可以记录用户的sudo命令日志
可以将日志定期备份到指定的日志备份服务器上,方便以后查阅和分析
时间: 2024-10-06 18:48:27