sudo配合syslog日志审计

说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录那些执行sudo命令的用户操作


一、安装sudo命令,syslog服务(centos6.5为rsyslog服务

[root@BaseServer ~]# rpm -qa |egrep "sudo|syslog"

rsyslog-5.8.10-8.el6.i686

sudo-1.8.6p3-12.el6.i686

如果没有安装就用yum安装一下


二、配置/etc/sudoers

[root@BaseServer ~]# echo "Defaults logfile=/var/log/sudo.log">>/etc/sudoers

[root@BaseServer ~]# tail -1 /etc/sudoers

Defaults logfile=/var/log/sudo.log 

[root@BaseServer ~]# visudo -c  #检测语法是否有错误

/etc/sudoers 解析正确

提示:可以不执行下面三和四步,直接切换到普通用户看看/var/log/sudo.log有没有记录


三、配置系统日志/etc/rsyslog.conf

[root@BaseServer ~]# echo "local2.debug /var/log/sudo.log">>/etc/rsyslog.conf

[root@BaseServer ~]# tail -1 /etc/rsyslog.conf

local2.debug /var/log/sudo.log


四、重启日志记录器

[root@BaseServer ~]# /etc/init.d/rsyslog restart


此时会自动创建文件/var/log/sudo.log ,如果看不到就退出重新登录一下

用户都属于root,并且权限是600

[root@BaseServer ~]# ll /var/log/sudo.log   #确保只有root才可以看到

-rw------- 1 root root 0 11 18 19:48 /var/log/sudo.log



五、测试sudo日志审计配置结果

建立用户拥有sudo的权限,同时使用root用户登录查看日志/var/log/sudo.log


[bier@BaseServer ~]$ sudo useradd ddd   #删除用户测试

[root@BaseServer ~]# cat /var/log/sudo.log

Nov 18 20:28:10 : bier :禁止使用 ; TTY=pts/3 ; PWD=/home/bier ;

USER=root ; COMMAND=/usr/sbin/useradd ddd   #已经记录了用户操作