sudo配合syslog日志审计记录用户操作

sudo配合syslog日志审计

说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录那些执行sudo命令的用户操作

一、安装sudo命令,syslog服务(centos6.5为rsyslog服务

[[email protected] ~]# rpm -qa |egrep "sudo|syslog"

rsyslog-5.8.10-8.el6.i686

sudo-1.8.6p3-12.el6.i686

如果没有安装就用yum安装一下

二、配置/etc/sudoers

[[email protected] ~]# echo "Defaults logfile=/var/log/sudo.log">>/etc/sudoers

[[email protected] ~]# tail -1 /etc/sudoers

Defaults logfile=/var/log/sudo.log

[[email protected] ~]# visudo -c  #检测语法是否有错误

/etc/sudoers 解析正确

提示:可以不执行下面三和四步,直接切换到普通用户看看/var/log/sudo.log有没有记录

三、配置系统日志/etc/rsyslog.conf

[[email protected] ~]# echo "local2.debug /var/log/sudo.log">>/etc/rsyslog.conf

[[email protected] ~]# tail -1 /etc/rsyslog.conf

local2.debug /var/log/sudo.log

四、重启日志记录器

[[email protected] ~]# /etc/init.d/rsyslog restart

此时会自动创建文件/var/log/sudo.log ,如果看不到就退出重新登录一下

用户都属于root,并且权限是600

[[email protected] ~]# ll /var/log/sudo.log   #确保只有root才可以看到

-rw------- 1 root root 0 11 18 19:48 /var/log/sudo.log

五、测试sudo日志审计配置结果

建立用户拥有sudo的权限,同时使用root用户登录查看日志/var/log/sudo.log

[[email protected] ~]$ sudo useradd ddd   #删除用户测试

[[email protected] ~]# cat /var/log/sudo.log

Nov 18 20:28:10 : bier :禁止使用 ; TTY=pts/3 ; PWD=/home/bier ;

USER=root ; COMMAND=/usr/sbin/useradd ddd   #已经记录了用户操作

时间: 2024-10-17 22:43:57

sudo配合syslog日志审计记录用户操作的相关文章

08 SSM整合案例(企业权限管理系统):09.用户操作

04.AdminLTE的基本介绍 05.SSM整合案例的基本介绍 06.产品操作 07.订单操作 08.权限控制 09.用户操作 10.权限关联与控制 11.AOP日志 09.用户操作 1. 用户操作-查询所有用户 3.3.1.用户查询页面 user-list.jsp 请在资料中查看具体代码 <!--数据列表--> <table id="dataList" class="table table-bordered table-striped table-hov

简易的用户操作日志记录

记录系统内用户的操作日志. 1.日志类 public class SysLog { /** * 主键 */ private String id; /** * 操作开始时间 */ private Date createTime; /** * 操作结束时间 */ private Date endTime; /** * 执行耗时 */ private long excuteTime; /** * 接口地址 */ private String url; /** * 请求参数 */ private Str

利用Hibernate监听器实现用户操作日志

网上搜索发现,实现用户操作日志的方式有:自定义注解方式.Hibernate拦截器方式.Hibernate监听器方式等. 1.自定义注解方式较为麻烦,需要进行操作记录的方法均需要添加注解,但是相对的操作描述更为针对性,缺点是无法获得所操作的实体ID以及成员: 2.拦截器方式经我自己试验,拦截器是在Hibernate操作数据库之前执行的,所以同样获取不了所操作的实体ID和成员,但是相对注解方式来说,不用在原有代码上更改添加注解等,耦合性比较低. 使用拦截器需要保证数据库操作均是对实体类的操作,即使用

按时按登录IP记录Linux所有用户操作日志的方法(附脚本)

PS:Linux用户操作记录一般通过命令history来查看历史记录,但是如果因为某人误操作了删除了重要的数据,这种情况下history命令就不会有什么作用了.以下方法可以实现通过记录登陆IP地址和所有用户登录所操作的日志记录! 在/etc/profile配置文件的末尾加入以下脚本代码就可以实现,下面脚本是我网上找来的,原作者不知.但原脚本的时间变量有错误,不能记录时间,本人测试发现并检查修正: PS1="`whoami`@`hostname`:"'[$PWD]' history US

基于NopCommerce的开发框架——缓存、网站设置、系统日志、用户操作日志

最近忙于学车,抽时间将Nop的一些公用模块添加进来,反应的一些小问题也做了修复.另外有园友指出Nop内存消耗大,作为一个开源电商项目,性能方面不是该团队首要考虑的,开发容易,稳定,代码结构清晰简洁也是很重要的一个方面,另外性能的优化也不仅仅是在框架层面.笔者在使用其开发一些中小型的项目,性能还在可以接受范围.前篇——基于nopCommerce的开发框架(附源码):http://www.cnblogs.com/dreling/p/6906688.html. 最新的代码已经同布到GitHub:htt

用户操作拦截并作日志记录--自定义注解+AOP拦截

作为运营除了处理系统生产问题,还要处理大量的用户上报事件,这部分工作占用了大量的人力.所有考虑把一部分事件查询处理做成一个自助平台,让用户自行核查处理.于是就有了用户自助系统.考虑到如何计量这个工具平台具体的实现价值,需要做用户操作统计才能给出可信服的数据. 以上就是本文的背景.自助系统的架构就是传统的springmvc+spinrg+mybatis+oracle.想到日志记录首先想到的就是AOP拦截处理.网上相关的技术贴很多.简单的小项目遇到的问题一般度娘都能给解决了~\(≧▽≦)/~ 自定义

mysql颠覆实战笔记(三)-- 用户登录(二):保存用户操作日志的方法

版权声明:笔记整理者亡命小卒热爱自由,崇尚分享.但是本笔记源自www.jtthink.com(程序员在囧途)沈逸老师的<web级mysql颠覆实战课程 >.如需转载请尊重老师劳动,保留沈逸老师署名以及课程来源地址. 现在我们接着上节课,完成第二个功能,不管成功不成功都记录一个日志. 一.回顾上节课内容,我们在user_log表中添加一个字段 user_id.  在上一节课的存储过程新增一行代码,如下: BEGIN set @gid=0; set @user_name=''; set @_res

0816关于MySQL的审计 init-connect+binlog实现用户操作追踪

转自:http://blog.sina.com.cn/s/blog_605f5b4f01013xkv.html mysql 用init-connect+binlog实现用户操作追踪 做access 的ip的log 记录 在MYSQL中,每个连接都会先执行init-connect,进行连接的初始化.我们可以在这里获取用户的登录名称和thread的ID值.然后配合binlog,就可以追踪到每个操作语句的操作时间,操作人等.实现审计. 实验过程:1:创建登录日志库,登录日志表 CREATE DATAB

十、syslog日志与loganalyzer日志管理

10.1.rsyslog简介 syslog是一个历史悠久的日志系统.几乎所有的UNIX和Linux操作系统都采用syslog进行系统日志的管理和配置.Linux系统内核和许多程序会产生各种错误信息.警告信息和其他的提示信息.syslog可以根据信息的来源以及信息的重要程度将信息保存到不同的日志文件中.在默认的syslog配置下,日志文件通常都保存在/var/log目录下,在Centos6中,syslog的守护进程为rsyslog,系统启动时,默认会自动运行rsyslog守护进程. 在syslog