centos6配置日志外发_centos6 配置sudo命令日志审计

最新推荐文章于 2024-08-27 18:06:44 发布
最新推荐文章于 2024-08-27 18:06:44 发布
阅读量763 收藏
点赞数
文章标签: centos6配置日志外发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32752827/article/details/113026567
版权
本文介绍了如何在CentOS6系统中配置sudo命令日志审计,以记录使用sudo执行命令的系统用户操作。通过安装sudo和rsyslog,配置syslog.conf和sudoers文件,以及重启rsyslog服务,实现对sudo命令的日志记录和审计。
摘要由CSDN通过智能技术生成

centos6 配置sudo命令日志审计

日志审计   sudo 命令日志审计

配置 sudo 命令日志审计

说明:所谓 sudo 命令日志审计,并不记录普通用户的普通操作,而是记录那些执行 sudo 命令的用户的操作。

项目实战:

服务器日志审计项目提出与实施权限方案实施后,权限得到了细化控制,接下来进一步实施以地所有用户日志记录方案。

通过 sudo 和 syslog(rsyslog) 配合实现对所有用户进行日志审计并将记录集中管理 (发送到中心日志服务器)、

实施后,让所有运维和开发的所有执行的 sudo 管理命令都记录可查,杜绝了内部人员的操作安全隐患

生产环境日志审记解决之案:

法 1:通过环境变量命令及 syslog 服务进行全部日志审记 (信息太大,不推荐)

法 2:sudo 配命 syslog 服务,进行日志审计 (信息较少,效果不错)

法 3:在 bash 解释器程序里嵌入一个监视器,让所有被审记的系统用户使用修改过的增加了监视器的特殊 bash 程序作为解释程序

法 4:齐治的堡垒机:商业产品

现在我们用的 sudo 日志审记,专门对使用 sudo 命令的系统用户记录其执行的命令相关信息

★centos6 系统配置日审记

1. 1. 安装 sudo 命令,syslog 服务 (centos6.4 为 rsyslog 服务)[[emailprotected]~]#rpm-aq|egrep"sudo|rsyslog"

rsyslog-5.8.10-6.el6.x86_64

sudo-1.8.6p3-7.el6.x86_64

如果没有安装则执行下面的命令安装yum install sudo rsyslog–y

2. 配置系统日志 / etc/syslog.confCentos6系统的rsyslog.conf的配置文件路径是/etc/rsyslog.conf

[[emailprotected]~]#echo"local2.debug/var/log/sudo.log">>/etc/rsyslog.conf

[[emailprotected]~]#tail-1/etc/rsyslog.conf

local2.debug/var/log/sudo.log

3. 配置 / etc/sudoers

增加配置 "Defaults         logfile=/var/log/sudo.log" 到 / etc/sudoers 中,注意:不包含引号[[emailprotected]~]#echo"Defaults    logfile=/var/log/sudo.log">>/etc/sudoers

[[emailprotected]~]#tail-1/etc/sudoers

Defaultslogfile=/var/log/sudo.log

[[emailprotected]~]#visudo-c

/etc/sudoers:parsed OK

4. 重启 syslog 内核日志记录器[[emailprotected]~]#/etc/init.d/rsyslogrestart

Shuttingdown system logger:[OK]

Startingsystem logger:[OK]

5. 测试 sudo 日志审计配置结果

用户 tom 拥有 root  ALL 权限,用户 bobo 拥有 / usr/sbin/useradd,/usr/sbin/passwd 权限[[emailprotected]~]$ sudo useradd bobo

Wetrust you have received the usuallecturefromthelocalSystem

Administrator.Itusually boils down tothese three things:

#1) Respect the privacy of others.

#2) Think before you type.

#3) With great power comes great responsibility.

.

[sudo]passwordfortom:

[[emailprotected]~]$ sudo passwd bobo

Changingpasswordforuser bobo.

Newpassword:

Retypenewpassword:

passwd:all authentication tokens updatedsuccessfully.

[[emailprotected]~]$ sudo useradd qwe

[[emailprotected]~]$ sudo passwd qwe

Changingpasswordforuser qwe.

Newpassword:

Retypenewpassword:

passwd:all authentication tokens updatedsuccessfully.

[[emailprotected]~]#cat/var/log/sudo.log

Dec2823:14:14:tom:TTY=pts/0;PWD=/home/tom;USER=root;

COMMAND=/usr/sbin/useradd bobo

Dec2823:14:21:tom:TTY=pts/0;PWD=/home/tom;USER=root;

COMMAND=/usr/bin/passwd bobo

Dec2823:23:18:tom:1incorrectpassword attempt;TTY=pts/0;PWD=/home/tom

;USER=root;COMMAND=/usr/sbin/useradd bobo

Dec2823:23:21:tom:TTY=pts/0;PWD=/home/tom;USER=root;

COMMAND=/usr/sbin/useradd bobo

Dec2823:24:11:mary:TTY=pts/0;PWD=/home/mary;USER=root;COMMAND=list

Dec2823:24:30:mary:command notallowed;TTY=pts/0;PWD=/home/mary;

USER=root;COMMAND=/usr/bin/passwd

Dec2823:24:40:mary:command notallowed;TTY=pts/0;PWD=/home/mary;

USER=root;COMMAND=/usr/bin/passwd

Dec2823:24:53:mary:command notallowed;TTY=pts/0;PWD=/home/mary;

USER=root;COMMAND=/usr/bin/passwd mary

Dec2823:25:35:mary:TTY=pts/0;PWD=/home/mary;USER=root;

COMMAND=/usr/sbin/useradd qwe

Dec2823:25:46:mary:command notallowed;TTY=pts/0;PWD=/home/mary;

USER=root;COMMAND=/usr/bin/passwd qwe

来源: http://www.bubuko.com/infodetail-2100079.html

区分
关注
centos6配置日志外发_CentOS6下记录后台操作日志的两种方式
weixin_35510761的博客
02-23 685
CentOS6下记录后台操作日志的两种方式平时为了记录登录CentOSLinux系统的操作命令,需要将操作日志记录下来,下面介绍两种方式1、利用script以及scriptreplay工具script一般默认已安装,可以使用script工具记录用户在当前终端的所有的操作,已经输出到屏幕的内容。将这些信息保存到指定的文本文件中。也就是说,script命令在你需要记录或者存档终端活动时可能很有用,...
centos6配置日志外发_CentOS6.5配置rsyslog
weixin_35599933的博客
01-17 978
如何在RHEL 6.5安装和配置rsyslog现在7.6版本/ CentOS的6.5 .The情况是,安装和RHEL / CentOS的6.5安装rsyslog现在集中式日志服务器上。所有的客户端服务器的日志将被发送到集中式日志服务器即rsyslog现在服务器。检查预装rsyslog现在包第1步:首先检查rsyslog现在软件包安装在您的system.Generally通过默认我们得到rsyslo...
天融信数据库审计网络审计系统-日志外发配置手册.docx
06-22
天融信网络\数据库审计系统提供审计日志、系统日志、报警日志的syslog、SNMP和邮件外发功能。
linux之管道篇
weixin_51014063的博客
09-22 212
语法: 命令1 | 命令2 | 命令3 | … 例子:将文件内容转换成大写 练习: 1、查看/usr/bin下有哪些文件(ls) ls /usr/bin 2、统计/usr/bin下文件的个数(wc -l) wc -l /usr/bin 3、显示/etc/passwd文件的前10行 head -10 /etc/passwd 4、显示/etc/passwd文件的6-10行 ls 6~10 /etc/passwd 5、将/etc/passwd文件的6-10行转成大写保存到/tmp/passwd.out l
关于Linux(CentOS 7)中的用户sudo命令
最新发布
最难不过坚持
08-27 531
可以看到,sudoers文件是属于root的,其他任何用户都无法对其进行修改,这样就只能root用户进行修改。当我们在当前用户使用sudo命令时,提示使用vimer用户的密码,非root。因为这里系统提示需要用户的密码,则认为vimer用户是受信任的。即用户的sudo命令其实没有办法直接执行。当前用户并未在系统的信任列表里。找到该行,修改添加当前用户即可。
centos6配置日志外发_centos6.x部署rsyslog服务器接收windows日志
weixin_29848477的博客
01-17 235
http://www.linuxidc.com/Linux/2013-06/86163.htmlogserver:yum install httpd mysql* php* mod_ssl rsyslog-mysql -y配置rsyslog; vim /etc/sysconfig/rsyslogSYSLOGD_OPTIONS="-c 2 -r -x -m 180"KLOGD_OPTIONS="-...
centos6配置日志外发_CentOS 6.7搭建Rsyslog日志服务器
weixin_35613582的博客
01-17 1523
前言:随着机房内的服务器和网络设备增加,日志管理和查询就成了让系统管理员头疼的事。系统管理员遇到的常见问题如下:1、常维护过程中不可能登录到每一台服务器和设备上去查看日志;2、网络设备上的存储空间有限,不可能存储期太长的日志,而系统出现问题又有可能是很久以前发生的某些操作造成的;3、在某些非法入侵的情况下,入侵者一般都会清除本地日志,清除入侵痕迹;4、zabbix等监控系统无法代替日志管理,无...
centos 日志审计_centos6 配置sudo命令日志审计
weixin_33479446的博客
01-17 840
配置sudo命令日志审计说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录那些执行sudo命令的用户的操作。项目实战:服务器日志审计项目提出与实施权限方案实施后,权限得到了细化控制,接下来进一步实施以地所有用户日志记录方案。通过sudo和syslog(rsyslog)配合实现对所有用户进行日志审计并将记录集中管理(发送到中心日志服务器)、实施后,让所有运维和开发的所有执行的sud...
centos6-sudo-1.9.9.rpm包;修复CVE-2021-3156,Sudo堆缓冲区溢出漏洞
01-30
此为centos6版的最新sudo-1.9.9.rpm包,修复修复CVE-2021-3156漏洞。 升级步骤: 1、将RPM包上传到服务器上, 2、执行升级命令: # rpm -Uvh sudo-1.9.9-1.el6.x86_64.rpm 3、执行完毕后,查询sudo版本: # sudo -V
centos 日志审计_CentOS7日志审计
weixin_32999397的博客
01-17 2062
一、用户空间审计系统简介Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文件不成功的访问)。Linux 用户空间审计系统由 auditd、audispd、auditctl、autrace、ausearch 和 aureport 等应用程序组成。下面依次说明:auditctl:即时控制审计守护进程的...
centos 日志审计_生产环境日志审计
weixin_35728286的博客
01-17 789
日志审计,就是记录所有系统和相关用户行为的信息,并且可以自动分析,处理。在中小企业环境中,一般都是在单个服务器上记录日志,而大型企业的生产环境当中,会有专门的日志服务器乃至集群。本文通过sudo配合centos自带的rsyslog(syslog)服务,进行日志审计。项目描述:1.权限控制后进一步实施对所有用户日志记录方案2.通过sudo 和syslog配合实现对所有用户进行日志审计并将记录集中管理...
CentOS7 syslog日志转发配置.docx
12-24
ConOS7 系统配置syslog日志转发的详细配置、验证过程。
centos 启用系统日志审计
qq_45158424的博客
04-07 1257
以上对用户的操作详细记录包括时间,用户,操作命令,等。
centos6 sudo配合rsyslog日志审计
weixin_33843409的博客
10-29 153
sudo配合rsyslog说明:工作环境中我们为普通用户设置了sudo权限,为了系统的更加安全,有时我们需要了解普通用户执行过哪些sudo命令,这时我们可以借助rsyslog记录普通用户执行过的sudo命令日志中,以方便我们更好的维护系统。1.编辑/etc/sudoersecho"defaults/var/log/sudo.log">>/ec...
centos 6 linux 执行sudo 报错: sudo:有效用户 ID 不是 0,sudo 属于 root 并设置了 setuid 位吗?
巨魔战将
06-12 2411
centos 6在新建用户后,通过sudo执行,出现报错,解决方法分享给大家: 报错信息: sudo:有效用户 ID 不是 0,sudo 属于 root 并设置了 setuid 位吗? 解决方法: # 命令所有者 chown root:root /usr/bin/sudo # 赋权 chmod 4755 /usr/bin/sudo # sudo文件库授权 chown root:root /usr/libexec/sudoers.so 问题解决~~ 若你依然未解决,或者有其他方案,欢迎在评论补充
centos6权限与安全: su,sudo
eyeofeagle的博客
06-12 784
1, 禁止/允许: 用户su 授予su权限 [root@host ~]# useradd a -s /bin/bash [root@host ~]# passwd a 更改用户 a 的密码 。 新的 密码: passwd: 所有的身份验证令牌已经成功更新。 [root@host ~]# su a [a@host root]$ cd [a@host ~]$ su 密码: su: 密码不正确 [a...
centos6配置日志外发_RHEL6配置日志服务器
weixin_42452924的博客
01-17 873
Linux端配置vi/etc/sysconfig/syslog把SYSLOGD_OPTIONS="-m0"修改为SYSLOGD_OPTIONS="-r-m0"//-r允许从远端主机写入vi/etc/syslog.conf把设备号为local4的所有的日志记录到/var/log/router.log中#Saveroutemessagesalltorouter....
centos 日志审计_Linux开启日志审计功能
weixin_32822843的博客
02-06 3546
将下面这段内容添加在/etc/profile文件末尾,执行source /etc/profile使之生效。HISTSIZE=1000HISTTIMEFORMAT="%Y/%m/%d %T ";export HISTTIMEFORMATexport HISTORY_FILE=/var/log/audit.logexport PROMPT_COMMAND='{ thisHistID=`history ...
centos 日志审计
UKerLee的博客
08-23 1513
audit日志审计
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值