Linux系统的sudo日志审计怎么配置

59次阅读
没有评论

共计 2851 个字符,预计需要花费 8 分钟才能阅读完成。

本文丸趣 TV 小编为大家详细介绍“Linux 系统的 sudo 日志审计怎么配置”,内容详细,步骤清晰,细节处理妥当,希望这篇“Linux 系统的 sudo 日志审计怎么配置”文章能帮助大家解决疑惑,下面跟着丸趣 TV 小编的思路慢慢深入,一起来学习新知识吧。

一:生产环境中日志审计方案如下:

1、syslog 全部操作日志审计,此种方法信息量大,不便查看

2、sudo 日志配合 syslog 服务进行日志审计

3、堡垒机日志审计

4、bash 安装监视器,记录用户使用操作

二:配置 sudo 日志审计

1、安装 sudo 与 syslog 服务

[root@Centos ~]# rpm -qa|grep sudo

sudo-1.8.6p3-24.el6.x86_64

[root@Centos ~]# rpm -qa|grep rsyslog

rsyslog-5.8.10-10.el6_6.x86_64

检查是否安装两种服务,如果没有安装,就使用下面的命令进行安装

yum install sudo -y

yum install rsyslog -y

备注:Centos 5.x 为 syslog,Centos 6.x 为 rsyslog

2、配置服务

创建日志保存目录

[root@Centos ~]# mkdir -p /var/log/

服务器环境查看

[root@Centos ~]# cat /etc/redhat-release 

CentOS release 6.5 (Final)

[root@Centos ~]# uname -r

2.6.32-431.el6.x86_64

服务器环境为 centos 6.5 所以 syslog 日志配置文件为 /etc/rsyslog.conf

[root@Centos ~]#echo local2.debug /var/log/sudo.log /etc/rsyslog.conf

查看配置

[root@Centos ~]# tail -1 /etc/rsyslog.conf 

local2.debug  /var/log/sudo.log

如果服务器为 centos 5.x 所以 syslog 日志配置文件为 /etc/syslog.conf

[root@Centos ~]#echo local2.debug /var/log/sudo.log /etc/syslog.conf

[root@Centos ~]#echo Defaults logfile=/var/log/sudo.log /etc/sudoers

查看配置

[root@Centos ~]# tail -1 /etc/syslog.conf 

local2.debug  /var/log/sudo.log

3、配置 /etc/sudoers

[root@Centos ~]# echo Defaults logfile=/var/log/sudo.log /etc/sudoers

[root@Centos ~]# tail -1 /etc/sudoers 

Defaults logfile=/var/log/sudo.log

4、重启服务

[root@Centos ~]# /etc/init.d/rsyslog restart

Shutting down system logger:                               [ OK  ]

Starting system logger:                                    [ OK  ]

三:测试日记审计结果

[root@Centos ~]# su – cjkaifa001

[cjkaifa001@Centos ~]$ pwd

/home/cjkaifa001

[cjkaifa001@Centos ~]$ touch 123.txt

[cjkaifa001@Centos ~]$ sudo ls

123.txt

[cjkaifa001@Centos ~]$ cat /var/log/sudo.log 

cat: /var/log/sudo.log: Permission denied

直接使用 cat 命令提示权限不足

[cjkaifa001@Centos ~]$ sudo cat /var/log/sudo.log 使用 sudo 提权后可查看

Sep 11 02:41:50 : cjkaifa001 : TTY=pts/1 ; PWD=/home/cjkaifa001 ; USER=root ;

    COMMAND=/bin/ls

Sep 11 02:44:57 : cjkaifa001 : TTY=pts/1 ; PWD=/home/cjkaifa001 ; USER=root ;

    COMMAND=/bin/cat /var/log/sudo.log

经过测试能正常记录用户使用 sudo 的操作日志记录,其它命令没有记录

[root@Centos ~]# rm -rf /var/log/sudo.log 

[root@Centos ~]# /etc/init.d/rsyslog stop

Shutting down system logger:                               [ OK  ][root@Centos ~]# su – cjkaifa001

[cjkaifa001@Centos ~]$ cd /

[cjkaifa001@Centos /]$ pwd

/

[cjkaifa001@Centos /]$ ls /root

ls: cannot open directory /root: Permission denied

[cjkaifa001@Centos /]$ sudo ls /root

[sudo] password for cjkaifa001: 

anaconda-ks.cfg  dead.letter  Downloads        install.log.syslog  Public           Videos

backup           Desktop      etc.tar.gz.2016  Music               tar.gz.20160820

data             Documents    install.log      Pictures            Templates

[cjkaifa001@Centos /]$ cat /var/log/sudo.log

cat: /var/log/sudo.log: Permission denied

[cjkaifa001@Centos /]$ sudo cat /var/log/sudo.log

[sudo] password for cjkaifa001: 

Sep 11 03:24:39 : cjkaifa001 : TTY=pts/1 ; PWD=/ ; USER=root ; COMMAND=/bin/ls

    /root

Sep 11 03:30:57 : cjkaifa001 : TTY=pts/1 ; PWD=/ ; USER=root ; COMMAND=/bin/cat

    /var/log/sudo.log

经过测试,直接停掉 rsyslog 服务,只配置 /etc/sudoers 也可以记录用户 sudo 提权操作日志记录

读到这里,这篇“Linux 系统的 sudo 日志审计怎么配置”文章已经介绍完毕,想要掌握这篇文章的知识点还需要大家自己动手实践使用过才能领会,如果想了解更多相关内容的文章,欢迎关注丸趣 TV 行业资讯频道。

正文完
 
丸趣
版权声明:本站原创文章,由 丸趣 2023-08-03发表,共计2851字。
转载说明:除特殊说明外本站除技术相关以外文章皆由网络搜集发布,转载请注明出处。
评论(没有评论)