sudo配合syslog日志审计
说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录那些执行sudo命令的用户操作
一、安装sudo命令,syslog服务(centos6.5为rsyslog服务)
[root@BaseServer ~]# rpm -qa |egrep "sudo|syslog"
rsyslog-5.8.10-8.el6.i686
sudo-1.8.6p3-12.el6.i686
如果没有安装就用yum安装一下
二、配置/etc/sudoers
[root@BaseServer ~]# echo "Defaults logfile=/var/log/sudo.log">>/etc/sudoers
[root@BaseServer ~]# tail -1 /etc/sudoers
Defaults logfile=/var/log/sudo.log
[root@BaseServer ~]# visudo -c #检测语法是否有错误
/etc/sudoers 解析正确
提示:可以不执行下面三和四步,直接切换到普通用户看看/var/log/sudo.log有没有记录
三、配置系统日志/etc/rsyslog.conf
[root@BaseServer ~]# echo "local2.debug /var/log/sudo.log">>/etc/rsyslog.conf
[root@BaseServer ~]# tail -1 /etc/rsyslog.conf
local2.debug /var/log/sudo.log
四、重启日志记录器
[root@BaseServer ~]# /etc/init.d/rsyslog restart
此时会自动创建文件/var/log/sudo.log ,如果看不到就退出重新登录一下
用户都属于root,并且权限是600
[root@BaseServer ~]# ll /var/log/sudo.log #确保只有root才可以看到
-rw------- 1 root root 0 11 18 19:48 /var/log/sudo.log
五、测试sudo日志审计配置结果
建立用户拥有sudo的权限,同时使用root用户登录查看日志/var/log/sudo.log
[bier@BaseServer ~]$ sudo useradd ddd #删除用户测试
[root@BaseServer ~]# cat /var/log/sudo.log
Nov 18 20:28:10 : bier :禁止使用 ; TTY=pts/3 ; PWD=/home/bier ;
USER=root ; COMMAND=/usr/sbin/useradd ddd #已经记录了用户操作
本文出自 “比尔linux运维笔记” 博客,请务必保留此出处http://chenshoubiao.blog.51cto.com/6159058/1880903
原文地址:http://chenshoubiao.blog.51cto.com/6159058/1880903
