sudo日志审计

最新推荐文章于 2022-10-23 16:36:44 发布
最新推荐文章于 2022-10-23 16:36:44 发布
阅读量369 收藏 1
点赞数
分类专栏: linux基础 文章标签: sudo日志审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41816540/article/details/82285112
版权

sudo日志审计

由于企业内部权限管理启用了sudo权限管理,但是还是有一定的风险因素,毕竟运维、开发等各个人员技术水平、操作习惯都不相同,也会因一时失误造成误操作,从而影响系统运行

 

因此,征对sudo提权的操作,便于管理与后续维护,开启sudo日志审计功能对用户执行 sudo命令的操作行为,但又不记录其它命令的操作行为

 

一:生产环境中日志审计方案如下:

1、syslog全部操作日志审计,此种方法信息量大,不便查看

2、sudo日志配合syslog服务进行日志审计

3、堡垒机日志审计

4、bash安装监视器,记录用户使用操作

 

二:配置sudo日志审计

1、安装sudo与syslog服务

[root@centos ~]# rpm -aq sudo rsyslog

rsyslog-5.8.10-8.el6.x86_64

sudo-1.8.6p3-12.el6.x86_64

You have new mail in /var/spool/mail/root

检查是否安装两种服务,如果没有安装,就使用下面的命令进行安装

yum install sudo -y

yum install rsyslog -y

备注:Centos 5.x 为syslog,Centos 6.x 为rsyslog

 

2、配置服务

 [root@centos ~]# echo "Defaults    logfile=/var/log/sudo.log">>/etc/sudoers

3、测试sudo日志审计

建立用户拥有sudo的权限,同时使用root用户登录查看日志/var/log/sudo.log

[oldboy@centos ~]$ sudo useradd ceshi

[sudo] password for oldboy:

oldboy 不在 sudoers 文件中。此事将被报告。

[root@centos ~]# tail -1  /var/log/sudo.log

    PWD=/home/oldboy ; USER=root ; COMMAND=/usr/sbin/useradd ceshi#记录操作

 

用户管理总结:

useradd  添加用户 -g -u -c -s -d -G -M -D -e

userdel  删除用户 -r

usermod  修改用户 -g -u -c -s -d -G

groupadd 添加组

groupdel 删除组

passwd   修改密码 --stain

chage    修改密码过期时间 -l -E

su       切换用户角色 - -c

sudo     普通用户可以拥有root的权限

visudo   编辑sudo配置文件

groups

newgrp

id

w who last lastlog whoami

无忧杂货铺
关注
专栏目录
centos 日志审计_centos6 配置sudo命令日志审计
weixin_33479446的博客
01-17 838
配置sudo命令日志审计说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录那些执行sudo命令的用户的操作。项目实战:服务器日志审计项目提出与实施权限方案实施后,权限得到了细化控制,接下来进一步实施以地所有用户日志记录方案。通过sudo和syslog(rsyslog)配合实现对所有用户进行日志审计并将记录集中管理(发送到中心日志服务器)、实施后,让所有运维和开发的所有执行的sud...
centos 日志审计_CentOS7日志审计
weixin_32999397的博客
01-17 2059
一、用户空间审计系统简介Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文件不成功的访问)。Linux 用户空间审计系统由 auditd、audispd、auditctl、autrace、ausearch 和 aureport 等应用程序组成。下面依次说明:auditctl:即时控制审计守护进程的...
Linux系统实战项目——sudo日志审计
民工哥的博客
09-29 1621
Linux系统实战项目——sudo日志审计 由于企业内部权限管理启用了sudo权限管理,但是还是有一定的风险因素,毕竟运维、开发等各个人员技术水平、操作习惯都不相同,也会因一时失误造成误操作,从而影响系统运行 因此,征对sudo提权的操作,便于管理与后续维护,开启sudo日志审计功能对用户执行 sudo命令的操作行为,但又不记录其它命令的操作行为
sudo审计操作
白衣不染尘的博客
05-22 572
由于企业内部权限管理启用了sudo权限管理,但是还是有一定的风险因素,毕竟运维、开发等各个人员技术水平、操作习惯都不相同,也会因一时失误造成误操作,从而影响系统运行。因此,征对sudo提权的操作,便于管理与后续维护,开启sudo日志审计功能对用户执行 sudo命令的操作行为,但又不记录其它命令的操作行为 一:生产环境中日志审计方案如下:1、syslog全部操作日志审计,此种方法信息量大,不便查看2...
企业案例:配置sudo命令用户行为日志审计
一个好知识的传播者
10-23 534
root@chensiqi1 ~]# echo "local2.debug /var/log/sudo.log" >> /etc/rsyslog.conf #这里可以不配。增加配置“Defaults logfile=/var/log/sudo.log”到/etc/sudoers中,注意:不包含引号。提示:下面的3),4)可以不执行,直接切换到普通操作,然后查看/var/log/sudo.log有无记录。方法二:sudo配合rsyslog服务,进行日志审计审计信息较少,效果不错)
rsyslog所有用户日志审计
12-22
sudo日志审计 sudo是一种 Linux 命令,允许普通用户以root权限执行命令。为了审计sudo操作,需要在rsyslog配置文件中添加相应的规则。在上面的部分内容中,添加了以下命令: echo "local2.debug /var/log/sudo.log...
服务日志审计项目详细笔记文档总结
最新发布
07-02
本文档将详细阐述一个服务日志审计项目的实施过程,特别是针对sudo命令的日志审计。 首先,项目的目标是确保所有运维和开发人员执行的命令都能被记录和审计,以消除内部操作隐患。然而,这个实施方案有一个局限性,...
centos 日志审计_生产环境日志审计
weixin_35728286的博客
01-17 789
日志审计,就是记录所有系统和相关用户行为的信息,并且可以自动分析,处理。在中小企业环境中,一般都是在单个服务器上记录日志,而大型企业的生产环境当中,会有专门的日志服务器乃至集群。本文通过sudo配合centos自带的rsyslog(syslog)服务,进行日志审计。项目描述:1.权限控制后进一步实施对所有用户日志记录方案2.通过sudo 和syslog配合实现对所有用户进行日志审计并将记录集中管理...
第二十一天-linux用户行为日志审计方案
weixin_30399871的博客
12-03 632
今日笔记:我们今天要学习的是:sudo日志审计,专门对使用sudo命令的系统用户记录其执行的命令相关信息。 说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录,那些执行sudo命令的用户的操作。 1、安装sudo命令,syslog服务(centos6.4为rsyslog服务) [xiaorui@lrz ~]$ rpm -qa|egrep "sudo|syslog" r...
菜鸟学习之linux用户行为日志审计方案
weixin_34179762的博客
10-14 265
今天学习了了sudo日志审计,专门对使用sudo命令系统的用户记录其执行的相关命令信息说明:所谓sudo命令日志审计,不记录普通用户操作,而是记录执行sudo命令的用户操作1、安装sudo命令,syslog服务[root@qzj~]#rpm-qa|egrep"sudo|syslog" rsyslog-5.8.10-10.el6_6.x86_64 sudo-1.8.6...
配置sudo命令行为审计
datiewen9424的博客
11-25 90
1、检查是否安装 rpm -aq sudo rsyslog  #检验是否安装此软件 ***如果没有需执行(yum install sudo rsyslog -y)安装*** 2、配置审计 echo "Defaults logfile = /var/log/sudo.log" >> /etc/sudoers ***sudo审计只有用户通过su...
配置sudo命令用户行为日志审计
m0_68622213的博客
05-25 661
所谓日志审计就是通过sudo日志服务rsyslog(centos5 是 syslog)的配合使用,记录用户使用sudo命令的日志。具体方法如下: 1. 确认rsyslog (syslog) 服务已开启,查询一下服务的状态 [root@192 ~]# service rsyslog status rsyslogd (pid 908) 正在运行... 2. 在/etc/sudoers 配置文件中加入一个 sudo命令记录的日志文件 [root@192 ~]# echo 'Defaulst log..
sudo配合syslog日志审计记录用户操作
weixin_34310127的博客
12-08 418
sudo配合syslog日志审计说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录那些执行sudo命令的用户操作一、安装sudo命令,syslog服务(centos6.5为rsyslog服务)[root@BaseServer ~]# rpm -qa |egrep "sudo|syslog"rsyslog-5.8.10-8.el6.i686sudo-1.8.6...
Linux上查找最大文件的3种方法
热门推荐
白衣不染尘的博客
11-13 3万+
Linux上查找最大文件的3种方法 第一种:ls 最简单的方法就是借助 ls 命令,因为 ls 命令本身输出是带文件大小信息的。 比如,我要列出 /data/log/ 目录中的20个最大文件,可以: ls -lSh /data/log/ | head -20 第二种:find find 本身就是查找命令,可以递归查找一个目录的子目录,所以用它是自然的。 比如,查找/etc目录下最大的5个文件: f...
Linux系统定时任务
白衣不染尘的博客
08-24 3万+
Linux系统定时任务 定时任务Crond Crond是linux系统中用来定期执行命令/脚本或指定程序任务的一种服务或软件,一般情况下,我们安装完Centos5/6 linux操作系统之后,默认便会启动Crond任务调度服务。 Crond服务会定期(默认每分钟检查一次)检查系统中是否有要执行的任务工作,如果有,便会根据其预先设定的定时任务规则自动执行该定时任务工作,这个crond定...
硬链接和符号链接详解
白衣不染尘的博客
08-10 2万+
文件属性软硬连接: 链接有两种,一种被称为硬链接(Hard Link),另一种被称为符号链接(Symbolic Link)。建立硬链接时,链接文件和被链接文件必须位于同一个文件系统中,并且不能建立指向目录的硬链接。而对符号链接,则不存在这个问题。默认情况下,ln产生硬链接。 在硬链接的情况下,参数中的“目标”被链接至[链接名]。如果[链接名]是一个目录名,系统将在该目录之下建立一个或多个与“目...
Linux性能监控(CPU监控)
白衣不染尘的博客
11-27 1万+
# Linux性能监控(CPU监控) 主要分为四类: cup监控 内存监控命令 IO性能 网络性能 cup监控 关于CPU,有3个重要的概念:上下文切换(context switchs),运行队列(Run queue)和使用率(utilization)。 上下文切换:    目前流行的CPU在同一时间内只能运行一个线程,超线程的处理器可以在同一时间运行多个线程(包括多核CPU),Linux内核会...
linux日志审计配置
05-26
Linux系统中进行日志审计可以帮助管理员更好地了解系统的运行状况和发现潜在的安全问题。下面是一个简单的步骤,用于配置Linux系统日志审计。 1. 安装 audit 工具 在大多数 Linux 发行版中,audit 工具已经预安装。如果没有,可以使用以下命令安装: ``` sudo apt-get install auditd # Debian/Ubuntu sudo yum install audit # CentOS/RHEL ``` 2. 配置审计规则 审计规则用于确定哪些事件需要被记录下来。可以编辑 /etc/audit/rules.d/audit.rules 文件来定义审计规则。这个文件可能已经存在了,如果不存在,可以手动创建。 以下是一个例子: ``` # This file contains the auditctl rules that are loaded # whenever the audit daemon is started via the init scripts. # The rules are simply the parameters that would be passed # to auditctl. # First rule - delete all -D # Increase the buffers to survive stress events. # Make this bigger for busy systems -b 8192 # Feel free to add below this line. See auditctl man page # for more information ``` 3. 启动 auditd 服务 配置完成后,启动 auditd 服务: ``` sudo systemctl start auditd ``` 4. 查看审计日志 审计日志存储在 /var/log/audit/audit.log 文件中。可以使用以下命令来查看日志: ``` sudo ausearch -i -ts today ``` 这将显示今天发生的所有审计事件。可以使用其他选项来指定时间范围、事件类型等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值