sudo配合syslog日志审计记录用户操作
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了sudo配合syslog日志审计记录用户操作相关的知识,希望对你有一定的参考价值。
sudo配合syslog日志审计
说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录那些执行sudo命令的用户操作
一、安装sudo命令,syslog服务(centos6.5为rsyslog服务)
[[email protected] ~]# rpm -qa |egrep "sudo|syslog"
rsyslog-5.8.10-8.el6.i686
sudo-1.8.6p3-12.el6.i686
如果没有安装就用yum安装一下
二、配置/etc/sudoers
[[email protected] ~]# echo "Defaults logfile=/var/log/sudo.log">>/etc/sudoers
[[email protected] ~]# tail -1 /etc/sudoers
Defaults logfile=/var/log/sudo.log
[[email protected] ~]# visudo -c #检测语法是否有错误
/etc/sudoers 解析正确
提示:可以不执行下面三和四步,直接切换到普通用户看看/var/log/sudo.log有没有记录
三、配置系统日志/etc/rsyslog.conf
[[email protected] ~]# echo "local2.debug /var/log/sudo.log">>/etc/rsyslog.conf
[[email protected] ~]# tail -1 /etc/rsyslog.conf
local2.debug /var/log/sudo.log
四、重启日志记录器
[[email protected] ~]# /etc/init.d/rsyslog restart
此时会自动创建文件/var/log/sudo.log ,如果看不到就退出重新登录一下
用户都属于root,并且权限是600
[[email protected] ~]# ll /var/log/sudo.log #确保只有root才可以看到
-rw------- 1 root root 0 11 18 19:48 /var/log/sudo.log
五、测试sudo日志审计配置结果
建立用户拥有sudo的权限,同时使用root用户登录查看日志/var/log/sudo.log
[[email protected] ~]$ sudo useradd ddd #删除用户测试
[[email protected] ~]# cat /var/log/sudo.log
Nov 18 20:28:10 : bier :禁止使用 ; TTY=pts/3 ; PWD=/home/bier ;
USER=root ; COMMAND=/usr/sbin/useradd ddd #已经记录了用户操作
本文出自 “比尔linux运维笔记” 博客,请务必保留此出处http://chenshoubiao.blog.51cto.com/6159058/1880903
以上是关于sudo配合syslog日志审计记录用户操作的主要内容,如果未能解决你的问题,请参考以下文章