root 权限泛滥,导致文件莫名丢失,给服务器造成一定的安全隐患,所以有了这篇服务器日志审计1. 安装sudo命令,syslog服务# 查看是否安装 sudo 和syslog
[root@node1 zck]# rpm -aq|egrep "sudo|syslog"
sudo-1.8.6p3-15.el6.x86_64
rsyslog-5.8.10-8.el6.x86_64没装的执行下面这条命令yum install sudo syslog -y2. 配置/etc/sudoers增加配置“Defaults logfile = /var/log/sudo.log” 到 /etc/sudoers中 (意义:把sudo的命令操作打到log 里面去)[root@node1 zck]# echo "Defaults logfile=/var/log/sudo.log">>/etc/sudoers
[root@node1 zck]# tail -1 /etc/sudoers # 检查
Defaults logfile=/var/log/sudo.log
[root@node1 zck]# visudo -c # 检查语法
/etc/sudoers: parsed OK
/etc/sudoers.d/ctdb: parsed OK3. 配置系统日志/etc/syslog.conf增加配置local2.debug 到/etc/syslog.conf 中。echo "local2.debug /var/log/sudo.log">>/etc/rsyslog.conf # 记录debug4. 重启syslog 内核日志记录器[root@node1 zck]# /etc/init.d/rsyslog restart # 重启
Shutting down sy