Linux 6.8 sudo 日志审计

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Linux 6.8 sudo 日志审计相关的知识,希望对你有一定的参考价值。

    公司内Linux服务器启用了SUDO权限管理,但还是有一定的风险,所以为了便于管理和后续维护,开启sudo日志审计的功能,对用户执行的sudo命令的操作行为进行记录,但又不记录其他的命令。

一、rsyslog 全部操作日志审计,信息量大,不方便以后查阅,我们选择只对sudo进行日志审计。

二、使用rpm -qa 查询是否安装服务,若没有就使用yum install XXXX -y 安装服务

[[email protected] ~]# rpm -qa |grep sudo
sudo-1.8.6p3-25.el6_8.x86_64
[[email protected] ~]# rpm -qa |grep rsyslog
rsyslog-5.8.10-10.el6_6.x86_64

三、查看当前服务器环境

[[email protected] ~]# cat /etc/redhat-release 
CentOS release 6.8 (Final)
[[email protected] ~]# uname -r
2.6.32-642.6.2.el6.x86_64

四、配置rsyslog.conf

[[email protected] ~]# echo "local2.debug /var/log/sudo.log">>/etc/rsyslog.conf
[[email protected] ~]# tail -1 /etc/rsyslog.conf 
local2.debug /var/log/sudo.log

五、配置/etc/sudoers

[[email protected] ~]# echo "Defaults logfile=/var/log/sudo.log">>/etc/sudoers
[[email protected] ~]# tail -1 /etc/sudoers 
Defaults logfile=/var/log/sudo.log

六、重启rsyslog服务

[[email protected] ~]# /etc/init.d/rsyslog restart
Shutting down system logger:                               [  OK  ]
Starting system logger:                                    [  OK  ]

七、切换到普通用户操作

[[email protected] ~]# su - yangya
[[email protected] ~]$ pwd
/home/yangya
[[email protected] ~]$ touch aaaa.py
[[email protected] ~]$ sudo ls
123.txt  aaaa.py
[[email protected] ~]$ cat aaaa.py 
[[email protected] ~]$ cat /var/log/sudo.log
cat: /var/log/sudo.log: Permission denied

八、使用特权查看sudo.log内容是否有上述操作

[[email protected] ~]$ sudo cat /var/log/sudo.log 
May 18 09:53:51 : yangya : TTY=pts/1 ; PWD=/home/yangya ; USER=root ;
    COMMAND=/bin/ls
May 18 09:54:04 : yangya : TTY=pts/1 ; PWD=/home/yangya ; USER=root ;
    COMMAND=/bin/cat /var/log/sudo.log
May 18 09:55:02 : yangya : TTY=pts/1 ; PWD=/home/yangya ; USER=root ;
    COMMAND=/bin/su -
May 18 10:06:18 : yangya : TTY=pts/1 ; PWD=/home/yangya ; USER=root ;
    COMMAND=/bin/ls
May 18 10:07:31 : yangya : TTY=pts/1 ; PWD=/home/yangya ; USER=root ;
    COMMAND=/bin/cat /var/log/sudo.log


附:

    直接停掉rsyslog服务,只配置/etc/sudoers也可以记录用户的sudo命令日志

    可以将日志定期备份到指定的日志备份服务器上,方便以后查阅和分析

本文出自 “RichyLu____鲁芮岐” 博客,请务必保留此出处http://richylu.blog.51cto.com/1481674/1926905

以上是关于Linux 6.8 sudo 日志审计的主要内容,如果未能解决你的问题,请参考以下文章

centos6 配置sudo命令日志审计

sudo配合syslog日志审计记录用户操作

模拟sudo+rsyslog日志审计功能

(转)企业配置sudo命令用户行为日志审计

配置sudo日志审计

全网日志集中审计解决方案