rpm –qa | egrep “sudo|rsyslog”
yum –y install sudo syslog
echo "Defaults logfile=/var/log/sudo.log" >>/etc/sudoers
tail -l /etc/sudoers
visudo -c #检查sudoers文件语法
echo "local2.debug /var/log/sudo.log" >>/etc/rsyslog.conf
重启syslog内核日志记录器
/etc/init.d/rsyslog restart
即可用普通用户sudo 测试,观察sudo 是否有日志打印。
ll /var/log/sudo.log
600 权限
sudo -l 查看自己的权限。
测试:
创建普通用户,授予用户sudo 权限。测试是否成功。如不成功:检查sudo -c 语法是否正确。
记录登录用户的数据
/var/log/useraudit.log文件记录登录用户的时间,来源IP,以及在系统中运行了什么命令。
#vi /etc/profile
在最后添加下面内容:
export HISTORY_FILE=/var/log/useraudit.log
export PROMPT_COMMAND='{ h=`history 1`;w=`who am i`;echo -e $(date "+%Y-%m-%d %H:%M:%S") --- $w ---$h;} >> $HISTORY_FILE'
然后执行命令:
touch /var/log/useraudit.log
chmod 777 /var/log/useraudit.log
chattr +a /var/log/useraudit.log
转载于:https://blog.51cto.com/hexudong/1627627