Linux系统实战项目——sudo日志审计
Linux系统实战项目——sudo日志审计
由于企业内部权限管理启用了sudo权限管理,但是还是有一定的风险因素,毕竟运维、开发等各个人员技术水平、操作习惯都不相同,也会因一时失误造成误操作,从而影响系统运行
因此,征对sudo提权的操作,便于管理与后续维护,开启sudo日志审计功能对用户执行 sudo命令的操作行为,但又不记录其它命令的操作行为
一:生产环境中日志审计方案如下:
1、syslog全部操作日志审计,此种方法信息量大,不便查看
2、sudo日志配合syslog服务进行日志审计
3、堡垒机日志审计
4、bash安装监视器,记录用户使用操作
二:配置sudo日志审计
1、安装sudo与syslog服务
[root@Centos ~]# rpm -qa|grep sudo
sudo-1.8.6p3-24.el6.x86_64
[root@Centos ~]# rpm -qa|grep rsyslog
rsyslog-5.8.10-10.el6_6.x86_64
检查是否安装两种服务,如果没有安装,就使用下面的命令进行安装
yum install sudo -y
yum install rsyslog -y
备注:Centos 5.x 为syslog,Centos 6.x 为rsyslog
2、配置服务
创建日志保存目录
[root@Centos ~]# mkdir -p /var/log/
服务器环境查看
[root@Centos ~]# cat /etc/redhat-release
CentOS release 6.5 (Final)
[root@Centos ~]# uname -r
2.6.32-431.el6.x86_64
服务器环境为centos 6.5 所以syslog日志配置文件为/etc/rsyslog.conf
[root@Centos ~]#echo "local2.debug /var/log/sudo.log">>/etc/rsyslog.conf
查看配置
[root@Centos ~]# tail -1 /etc/rsyslog.conf
local2.debug /var/log/sudo.log
如果服务器为centos 5.x 所以syslog日志配置文件为/etc/syslog.conf
[root@Centos ~]#echo "local2.debug /var/log/sudo.log">>/etc/syslog.conf
[root@Centos ~]#echo "Defaults logfile=/var/log/sudo.log">>/etc/sudoers
查看配置
[root@Centos ~]# tail -1 /etc/syslog.conf
local2.debug /var/log/sudo.log
3、配置/etc/sudoers
[root@Centos ~]# echo "Defaults logfile=/var/log/sudo.log">>/etc/sudoers
[root@Centos ~]# tail -1 /etc/sudoers
Defaults logfile=/var/log/sudo.log
4、重启服务
[root@Centos ~]# /etc/init.d/rsyslog restart
Shutting down system logger: [ OK ]
Starting system logger: [ OK ]
三:测试日记审计结果
[root@Centos ~]# su - cjkaifa001
[cjkaifa001@Centos ~]$ pwd
/home/cjkaifa001
[cjkaifa001@Centos ~]$ touch 123.txt
[cjkaifa001@Centos ~]$ sudo ls
123.txt
[cjkaifa001@Centos ~]$ cat /var/log/sudo.log
cat: /var/log/sudo.log: Permission denied
直接使用cat命令提示权限不足
[cjkaifa001@Centos ~]$ sudo cat /var/log/sudo.log 使用sudo提权后可查看
Sep 11 02:41:50 : cjkaifa001 : TTY=pts/1 ; PWD=/home/cjkaifa001 ; USER=root ;
COMMAND=/bin/ls
Sep 11 02:44:57 : cjkaifa001 : TTY=pts/1 ; PWD=/home/cjkaifa001 ; USER=root ;
COMMAND=/bin/cat /var/log/sudo.log
经过测试能正常记录用户使用sudo的操作日志记录,其它命令没有记录
[root@Centos ~]# rm -rf /var/log/sudo.log
[root@Centos ~]# /etc/init.d/rsyslog stop
Shutting down system logger: [ OK ]
[root@Centos ~]# su - cjkaifa001
[cjkaifa001@Centos ~]$ cd /
[cjkaifa001@Centos /]$ pwd
/
[cjkaifa001@Centos /]$ ls /root
ls: cannot open directory /root: Permission denied
[cjkaifa001@Centos /]$ sudo ls /root
[sudo] password for cjkaifa001:
anaconda-ks.cfg dead.letter Downloads install.log.syslog Public Videos
backup Desktop etc.tar.gz.2016 Music tar.gz.20160820
data Documents install.log Pictures Templates
[cjkaifa001@Centos /]$ cat /var/log/sudo.log
cat: /var/log/sudo.log: Permission denied
[cjkaifa001@Centos /]$ sudo cat /var/log/sudo.log
[sudo] password for cjkaifa001:
Sep 11 03:24:39 : cjkaifa001 : TTY=pts/1 ; PWD=/ ; USER=root ; COMMAND=/bin/ls
/root
Sep 11 03:30:57 : cjkaifa001 : TTY=pts/1 ; PWD=/ ; USER=root ; COMMAND=/bin/cat
/var/log/sudo.log
经过测试,直接停掉rsyslog服务,只配置/etc/sudoers也可以记录用户sudo提权操作日志记录
备注:实际生产环境中,可将日志审计记录结果定期推送至指定的日志备份服务器上,后续会介绍具体操作过程(如何推送日志记录)
如需转载,烦请注明原出处,更多内容可以扫描下方二维码关注公众号
长按二维码关注微信公众号——友侃有笑
Linux系统实战项目——sudo日志审计的更多相关文章
- Django项目:堡垒机(Linux服务器主机管理系统)--03--03堡垒机在Linux系统里记录会话日志02/02
#main.py #本文件写所有的连接交互动作程序 # ————————————————03堡垒机在Linux系统里记录会话日志 开始———————————————— from Fortress im ...
- linux系统tomcat项目部署和tomcat访问日志
一.只用ip地址访问 先把端口号改成80,然后用 <Host name="localhost" appBase="webapps" 137 ...
- sudo日志审计
一般企业生产环境都会用跳板机把操作日志记录下来,不过有些公司内部的测试机可以用本机的sudo日志审计功能将执行的sudo命令保存日志. 为什么要使用sudo审计,因为可以通过sudo授权给普通用户执行 ...
- Linux系统下分割tomcat日志
在Linux系统下,tomcat日志catalina.out并不会像window系统下,按日期进行重写备份,因此在Linux系统下会造成日志文件过大的情况,本文介绍采用 cronolog工具进行如在w ...
- 如何查看linux系统下的各种日志文件 linux 系统日志的分析大全
日志分类: 1. 连接时间的日志 连接时间日志一般由/var/log/wtmp和/var/run/utmp这两个文件记录,不过这 两个文件无法直接cat查看,并且该文件由系统自动更新,可以通过如下: ...
- Linux 系统中如何查看日志 (常用命令) tail -f
Linux 系统中如何查看日志 (常用命令) tail -f 日志文件 日 志 文 件 说 明 /var/log/message 系统启动后的信息和错误日志,是Red Hat Linux中最常用的日 ...
- 云服务器 ECS Linux 系统中常见的日志文件介绍
云服务器 ECS Linux 系统中,日志文件是非常重要的文件,它们记录了很多系统中重要的事.Linux 系统中常见日志文件概述如下: /var/log/cron可以在 cron 文件中检查 cron ...
- linux系统中如何查看日志(转)
cat tail -f 日 志 文 件 说 明 /var/log/message 系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一 /var/log/secure 与安 ...
- 【夯实Mysql基础】MySQL在Linux系统下配置文件及日志详解
本文地址 分享提纲: 1. 概述 2. 详解配置文件 3. 详解日志 1.概述 MySQL配置文件在Windows下叫my.ini,在MySQL的安装根目录下:在Linux下叫my.cnf,该文件位于 ...
随机推荐
- 数据可视化-EChart2.0.0使用中遇到的2个问题
之前项目中都是使用FusionChart和HighChart,基本都是没有购买商业许可.然后现在开发的系统需要交付给客户使用.所以现在图表控件不能直接使用FusionChart和HighChart,通 ...
- Java 8新特性-2 接口定义增强
为了解决当原有的接口中方法不足时,向原有的接口中添加新的方法,该接口下的N多实现类也需要重写该方法的问题!Java8引入了接口定义增强概念! Java8 打破了原有的接口的方法定义: 公共的.抽象的 ...
- iOS开发之远程推送
说到远程推送,应该用的也挺多的,今天就基于SEA的云推送服务,做一个推送的小demo,来了解一下iOS中的远程推送是怎么一回事儿,首先你得有苹果的开发者账号,好咸蛋也差不多了,主要内容走起. 一.准备 ...
- 确保 PHP 应用程序的安全
开始之前在本教程中,您将学习如何在自己的 PHP Web 应用程序中添加安全性.本教程假设您至少有一年编写 PHP Web 应用程序的经验,所以这里不涉及 PHP 语言的基本知识(约定或语法).目标是 ...
- 你所不知道的15个Axure使用技巧
你有用原型开发工具吗?如果有,那你用的是Axure还是别的? 从以前就喜欢使用Axure,主要是觉得它能清楚的表达设计的思路,还有交互的真实再现,能让看的人一目了然,昨天看了这篇博文,便更加确定Axu ...
- matlab基础教程——根据Andrew Ng的machine learning整理
matlab基础教程--根据Andrew Ng的machine learning整理 基本运算 算数运算 逻辑运算 格式化输出 小数位全局修改 向量和矩阵运算 矩阵操作 申明一个矩阵或向量 快速建立一 ...
- Android 学习Activity(1)activity和intent
工具是:JDK环境配置+SDK+ADT工具 一.Activity 主要作用: 1.用户与应用程序的接口 2.控件的容器 二.创建Activity要点:(在src中的目录下包里) 1.一个Activi ...
- Android TextView中显示图片
Android官方给我们提供的Html类下面的fromHtml方法 当你需要转换的HTML代码是带图片的,比如<IMG/>,那么你就需要使用到重载的第二个方法了,这个方法里面有个Image ...
- 使用idea debug多线程
最近采用hystrix远程访问webservice, 遇到一个重定向303的exception,想要debug一下,发现打了断点后总是被跳过.想到hystrix异步线程的问题,于是想要debug就得支 ...
- js正则表达式语法
1. 正则表达式规则 1.1 普通字符 字母.数字.汉字.下划线.以及后边章节中没有特殊定义的标点符号,都是"普通字符".表达式中的普通字符,在匹配一个字符串的时候,匹配与之相同的 ...