利用rsyslog 对Linux用户进行审计

rsyslog 是标准Linux系统的一部分，能够实时的写日志，并且还可以将日志选择性的发送到远程日志服务器。

要审计用户执行的命令，简单的依赖.bash_history 或 script 是不可靠的，两者虽然记录了用户行为，但是可能被用户篡改。利用rsyslog 可以将日志实时写入远程日志服务器，从而杜绝用户篡改，提高审计材料的真实度。

以ubuntu为例，下面的办法可以让rsyslog记录用户所执行的命令以及时间戳，供审计使用。

1、rsyslog 添加日志

1	echo  "local6.* /var/log/commands.log"  > /etc/rsyslog .d /bash .conf

2、在/etc/profile 中加入

1 2 3 4 5 6 7 8

function  bash2syslog {      declare  command      command =$(fc - ln  -0 2> /dev/null || true )      if  [  "$command"  !=  ""  ]; then          logger -p local6.notice -t  bash  --  "$(who am i)"  $PWD $USER:  "$command"      fi }  trap  bash2syslog DEBUG

这里写入本地日志。然后rsyslog直接将日志写入远程服务器 。

建议root 用户的umask 值设置为027或者007，防止/var/log/commands.log文件被普通用户查看到。

3、日志轮转

编辑/etc/logrotate.d/rsyslog 在中间增加一段

1 2 3 4 5 6 7 8 9 10 11 12 13

/var/log/commands.log {          rotate 30          weekly          missingok          notifempty          compress          delaycompress          sharedscripts          postrotate                  reload rsyslog >/dev/null 2>&1 || true          endscript }

 

4、重启rsyslog，用户退出重新登陆

1	service rsyslog restart

5、rsyslog 发送日志到远程服务器（可选）

1	echo  "local6.*          @@192.168.0.2"  >> /etc/rsyslog .conf

 

6、利用watchdog监视rsyslog，如果服务被停止，则重启机器 (可选)

1 2 3 4 5 6 7 8 9 10 11

apt-get  install  watchdog update-rc.d watchdog defaults    Cat >>  /etc/watchdog .conf  <<EOF watchdog-device    =  /dev/watchdog admin                   = root interval                = 1 logtick                 = 1 log- dir                  =  /var/log/watchdog pidfile                 =  /var/run/rsyslogd .pid EOF

7、目标日志服务器配置 /etc/rsyslog.d/commands-audit.conf

1 2	$template LOG_BY_HOSTIP, "/var/log/command-audit/%fromhost-ip%-commands.log" local6.notice ?LOG_BY_HOSTIP

本文转自 紫色葡萄 51CTO博客，原文链接：http://blog.51cto.com/purplegrape/1544117，如需转载请自行联系原作者