sudo配合syslog日志审计记录用户操作

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了sudo配合syslog日志审计记录用户操作相关的知识,希望对你有一定的参考价值。

sudo配合syslog日志审计

说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录那些执行sudo命令的用户操作


一、安装sudo命令,syslog服务(centos6.5为rsyslog服务

[[email protected] ~]# rpm -qa |egrep "sudo|syslog"

rsyslog-5.8.10-8.el6.i686

sudo-1.8.6p3-12.el6.i686

如果没有安装就用yum安装一下


二、配置/etc/sudoers

[[email protected] ~]# echo "Defaults logfile=/var/log/sudo.log">>/etc/sudoers

[[email protected] ~]# tail -1 /etc/sudoers

Defaults logfile=/var/log/sudo.log 

[[email protected] ~]# visudo -c  #检测语法是否有错误

/etc/sudoers 解析正确

提示:可以不执行下面三和四步,直接切换到普通用户看看/var/log/sudo.log有没有记录


三、配置系统日志/etc/rsyslog.conf

[[email protected] ~]# echo "local2.debug /var/log/sudo.log">>/etc/rsyslog.conf

[[email protected] ~]# tail -1 /etc/rsyslog.conf

local2.debug /var/log/sudo.log


四、重启日志记录器

[[email protected] ~]# /etc/init.d/rsyslog restart


此时会自动创建文件/var/log/sudo.log ,如果看不到就退出重新登录一下

用户都属于root,并且权限是600

[[email protected] ~]# ll /var/log/sudo.log   #确保只有root才可以看到

-rw------- 1 root root 0 11 18 19:48 /var/log/sudo.log



五、测试sudo日志审计配置结果

建立用户拥有sudo的权限,同时使用root用户登录查看日志/var/log/sudo.log


[[email protected] ~]$ sudo useradd ddd   #删除用户测试

[[email protected] ~]# cat /var/log/sudo.log

Nov 18 20:28:10 : bier :禁止使用 ; TTY=pts/3 ; PWD=/home/bier ;

USER=root ; COMMAND=/usr/sbin/useradd ddd   #已经记录了用户操作




本文出自 “比尔linux运维笔记” 博客,请务必保留此出处http://chenshoubiao.blog.51cto.com/6159058/1880903

以上是关于sudo配合syslog日志审计记录用户操作的主要内容,如果未能解决你的问题,请参考以下文章

模拟sudo+rsyslog日志审计功能

日志审计方案

利用SHELL的PROMPT_COMMAND添加日志审计功能,实时记录任何用户的操作到日志文件中

Linux 6.8 sudo 日志审计

全网日志集中审计解决方案

(转)企业配置sudo命令用户行为日志审计