rpm –qa | egrep “sudo|rsyslog”

yum –y install sudo syslog

 

echo "Defaults logfile=/var/log/sudo.log" >>/etc/sudoers

tail -l /etc/sudoers

visudo -c  #检查sudoers文件语法

 

echo "local2.debug /var/log/sudo.log" >>/etc/rsyslog.conf

 

重启syslog内核日志记录器

/etc/init.d/rsyslog restart

即可用普通用户sudo 测试,观察sudo 是否有日志打印。

 

ll /var/log/sudo.log

600 权限

sudo -l   查看自己的权限。

 

测试:

创建普通用户,授予用户sudo  权限。测试是否成功。如不成功:检查sudo -c 语法是否正确。

 

 

记录登录用户的数据
/var/log/useraudit.log文件记录登录用户的时间,来源IP,以及在系统中运行了什么命令。
#vi /etc/profile
在最后添加下面内容:
export HISTORY_FILE=/var/log/useraudit.log
export PROMPT_COMMAND='{ h=`history 1`;w=`who am i`;echo -e $(date "+%Y-%m-%d %H:%M:%S") --- $w ---$h;} >> $HISTORY_FILE'
然后执行命令:
touch /var/log/useraudit.log
chmod 777 /var/log/useraudit.log
chattr +a /var/log/useraudit.log