Linux 6.8 sudo 日志审计

Posted 2020-09-18

    公司内Linux服务器启用了SUDO权限管理，但还是有一定的风险，所以为了便于管理和后续维护，开启sudo日志审计的功能，对用户执行的sudo命令的操作行为进行记录，但又不记录其他的命令。

一、rsyslog 全部操作日志审计，信息量大，不方便以后查阅，我们选择只对sudo进行日志审计。

二、使用rpm -qa 查询是否安装服务，若没有就使用yum install XXXX -y 安装服务

[[email protected] ~]# rpm -qa |grep sudo
sudo-1.8.6p3-25.el6_8.x86_64
[[email protected] ~]# rpm -qa |grep rsyslog
rsyslog-5.8.10-10.el6_6.x86_64

三、查看当前服务器环境

[[email protected] ~]# cat /etc/redhat-release 
CentOS release 6.8 (Final)
[[email protected] ~]# uname -r
2.6.32-642.6.2.el6.x86_64

四、配置rsyslog.conf

[[email protected] ~]# echo "local2.debug /var/log/sudo.log">>/etc/rsyslog.conf
[[email protected] ~]# tail -1 /etc/rsyslog.conf 
local2.debug /var/log/sudo.log

五、配置/etc/sudoers

[[email protected] ~]# echo "Defaults logfile=/var/log/sudo.log">>/etc/sudoers
[[email protected] ~]# tail -1 /etc/sudoers 
Defaults logfile=/var/log/sudo.log

六、重启rsyslog服务

[[email protected] ~]# /etc/init.d/rsyslog restart
Shutting down system logger:                               [  OK  ]
Starting system logger:                                    [  OK  ]

七、切换到普通用户操作

[[email protected] ~]# su - yangya
[[email protected] ~]$ pwd
/home/yangya
[[email protected] ~]$ touch aaaa.py
[[email protected] ~]$ sudo ls
123.txt  aaaa.py
[[email protected] ~]$ cat aaaa.py 
[[email protected] ~]$ cat /var/log/sudo.log
cat: /var/log/sudo.log: Permission denied

八、使用特权查看sudo.log内容是否有上述操作

[[email protected] ~]$ sudo cat /var/log/sudo.log 
May 18 09:53:51 : yangya : TTY=pts/1 ; PWD=/home/yangya ; USER=root ;
    COMMAND=/bin/ls
May 18 09:54:04 : yangya : TTY=pts/1 ; PWD=/home/yangya ; USER=root ;
    COMMAND=/bin/cat /var/log/sudo.log
May 18 09:55:02 : yangya : TTY=pts/1 ; PWD=/home/yangya ; USER=root ;
    COMMAND=/bin/su -
May 18 10:06:18 : yangya : TTY=pts/1 ; PWD=/home/yangya ; USER=root ;
    COMMAND=/bin/ls
May 18 10:07:31 : yangya : TTY=pts/1 ; PWD=/home/yangya ; USER=root ;
    COMMAND=/bin/cat /var/log/sudo.log

附：

    直接停掉rsyslog服务，只配置/etc/sudoers也可以记录用户的sudo命令日志

    可以将日志定期备份到指定的日志备份服务器上，方便以后查阅和分析

本文出自 “RichyLu____鲁芮岐” 博客，请务必保留此出处http://richylu.blog.51cto.com/1481674/1926905