本文介绍了如何通过sudo命令和rsyslog服务实现服务器上的日志审计,强调了对使用sudo权限的用户操作进行记录的重要性,以增强系统安全性和操作透明度。通过配置sudoers文件和rsyslog服务,可以将sudo命令的日志集中管理并存储在/var/log/sudo.log,确保只有root用户能查看,从而提高内部操作的安全性。
所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录那些执行sudo命令的用户的操作。
项目实战:简历中的经验说明模版
服务器日志审计项目提出与实施 20xx.0x - 20xx.xx
1,权限方案实施后,权限得到了细化控制,接下来进一步实施对所有用户日志记录方案。
2,通过sudo和syslog(rsyslog)配合实现对所有用户进行日志审计并将记录集中管理(发送到中心日志服务器)
3,实施后让所有运维和开发的所有执行的sudo管理命令都有记录可查,杜绝了内部人员的操作安全隐患。
生产环境企业日志审计解决方案:
所谓日志审计,就是记录所有系统及相关用户行为信息,并且可以自动分析,处理,展示(包括文本或者录像)。
7个方法:
方法一:通过环境变量命令及rsyslog服务进行所有用户的所有操作的全部日志审计(信息量太大,不推荐)。
方法二:sudo配合rsyslog服务,进行日志审计(审计信息较少,效果不错)
方法三:在bash解释器程序里嵌入一个监视器,让所有被审计的系统用户使用修改过的增加了监视器的特殊bash程序作为工作环境
方法四:齐治的堡垒机:商业产品
我们今天要学习的是:sudo日志审计:专门对使用sudo命令的系统用户记录其执行的命令相关信息。
方法五:python开发的开源产品
CrazyEye开源堡垒机
方法六:
开源跳板机(堡垒机)Jumpserver部署详解
方法七:
shell跳板机
方法二:sudo配合rsyslog服务,进行日志审计(审计信息较少,效果不错)
1)安装sudo命令,rsyslog服务
一般情况下系统都是默认安装了的。(Centos5为syslog)
2)配置/etc/sudoers
增加配置“Defaults logfile=/var/log/sudo.log”到/etc/sudoers中,注意:不包含引号。
[root@chensiqi ~]# echo "Defaults logfile=/var/log/sudo.log">>/etc/sudoers
一行搞定sudo日志审计
[root@chensiqi1 ~]# tail -1 /etc/sudoers
Defaults logfile=/var/log/sudo.log
[root@chensiqi1 ~]# visudo -c #检查sudoers文件语法
/etc/sudoers: parsed OK
提示:下面的3),4)可以不执行,直接切换到普通操作,然后查看/var/log/sudo.log有无记录
[root@chensiqi1 ~]# cat /var/log/sudo.log
Feb 21 11:30:55 : chensiqi : TTY=pts/0 ; PWD=/home/chensiqi ; USER=root ;
COMMAND=/bin/ls /root
3)配置系统日志/etc/rsyslog.conf(这里可以不配)
增加配置local2.debug到/etc/rsyslog.conf中
[root@chensiqi1 ~]# echo "local2.debug /var/log/sudo.log" >> /etc/rsyslog.conf #这里可以不配
[root@chensiqi1 ~]# tail -1 /etc/rsyslog.conf #查看配置结果
local2.debug /var/log/sudo.log
提示:如果是Centos5系列,那么路径为/etc/syslog.conf
4)重启rsyslog内核日志记录器
[root@chensiqi1 ~]# /etc/init.d/rsyslog restart
Shutting down system logger: [ OK ]
Starting system logger: [ OK ]
提示:
如果是Centos5系列,启动命令为/etc/init.d/syslog restart
此时,会自动建立一个/var/log/sudo.log文件并且文件权限为600,所有者和组均为root
[root@chensiqi1 ~]# ll /var/log/sudo.log #确保只有root才能查看
-rw-------. 1 root chensiqi 100 Feb 21 11:30 /var/log/sudo.log
5)测试sudo日志审计配置结果
[root@chensiqi1 ~]# whoami
root
[root@chensiqi1 ~]# su - chensiqi
[chensiqi@chensiqi1 ~]$ sudo -u chensiqi2 mkdir /home/chensiqi2/ggggg #执行sudo操作
[chensiqi@chensiqi1 ~]$ exit
logout
[root@chensiqi1 ~]# cat /var/log/sudo.log #查看日志记录
Feb 21 11:30:55 : chensiqi : TTY=pts/0 ; PWD=/home/chensiqi ; USER=root ;
COMMAND=/bin/ls /root
Feb 21 11:43:21 : chensiqi : TTY=pts/0 ; PWD=/home/chensiqi ; USER=chensiqi2 ;
COMMAND=/bin/mkdir /home/chensiqi2/ggggg
扫一扫
5033
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
