linux用户行为日志审计方案

最新推荐文章于 2024-02-27 21:15:00 发布
最新推荐文章于 2024-02-27 21:15:00 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: Linux

今天学习了了sudo日志审计,专门对使用sudo命令系统的用户记录其执行的相关命令信息

说明:所谓sudo命令日志审计,不记录普通用户操作,而是记录执行sudo命令的用户操作

1、安装sudo命令,syslog服务

1
2
3
[root@qzj ~] # rpm -qa |egrep "sudo|syslog"
rsyslog-5.8.10-10.el6_6.x86_64
sudo -1.8.6p3-29.el6_9.x86_64

如果没有安装则执行下面的安装命令;

1
[root@qzj ~] # yum install sudo rsyslog -y

2、配置/etc/sudoers

增加配置"Defaults     logfile=/var/log/sudo.log"到/etc/sudoers中

1
2
3
4
5
6
[root@qzj ~] # echo "Defaults     logfile=/var/log/sudo.log" >>/etc/sudoers  #追加到文件结尾
[root@qzj ~] # tail -1 /etc/sudoers
Defaults     logfile= /var/log/sudo .log
[root@qzj ~] # visudo -c    #检查sudoers文件语法
/etc/sudoers : parsed OK
[root@qzj ~] #

注:下面的3,4可以不执行,直接切到普通用户,然后查看/var/log/sudo.log有无操作

3、配置系统日志/etc/rsyslog.conf

增加配置local2.debug到/etc/rsyslog.conf中

1
2
3
[root@qzj ~] # echo "ocal2.debug     /var/log/sudo.log" >>/etc/rsyslog.conf 
[root@qzj ~] # tail -1 /etc/rsyslog.conf 
ocal2.debug      /var/log/sudo .log

4、重启syslog内核日志记录器

1
2
3
[root@qzj ~] # /etc/init.d/rsyslog restart
Shutting down system logger:                          [  OK  ]
Starting system logger:                             [  OK  ]

此时,会自动建立一个/var/log/sudo.log 文件(日志中配置的名字)并用文件权限为600,所有者和组均为root

5、测试sudo日志审计结果

 本文以efg用户为例:

1
2
3
4
5
6
7
8
9
10
[root@qzj ~] # cat /etc/sudoers |grep efg      #查看suoders配置文件里efg用户的权限
efg     ALL=(ALL)        /bin/rm , /bin/userdel , /bin/touch
[efg@qzj ~]$  sudo  mkdir  kgk
[ sudo ] password  for  efg: 
Sorry, user efg is not allowed to execute  '/bin/mkdir kgk'  as root on qzj. 
#提示没有权限创建kgk文件
[efg@qzj ~]$  sudo  touch  123kkk
[ sudo ] password  for  efg: 
[efg@qzj ~]$  ls
12  123kdk  12kgdk  gxl

6、查看日志统计结果:

1
2
3
4
5
6
7
[root@qzj ~] # cat /var/log/sudo.log 
Oct 13 18:48:48 : efg :  command  not allowed ; TTY=pts /2  ; PWD= /home/efg  ;
     USER=root ; COMMAND= /bin/mkdir  kgk
Oct 13 18:49:06 : efg : TTY=pts /2  ; PWD= /home/efg  ; USER=root ;
     COMMAND= /bin/touch  123kkk
[efg@qzj ~]$  ls   #查看刚创建的文件
  123kkk

所谓日志审计,就是记录所有系统及相关用户行为的信息、并且可以自动分析、处理、展示(包括文本或者录像)

日志集中管理目前可以通过scp+定时任务任务来推到日志服务器上116.196.68.28上/root/aildata/uploadlog

1
2
3
[root@qzj ~] # scp -r /var/log/sudo.log  root@116.196.68.28:/root/alidata/uploadlog
root@116.196.68.28's password:      #此位置输入远程主机密码
sudo .log 
韩帅平
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
VSIP服务器虚拟化解决方案.pptx
06-07
进程隔离 强制访问控制(MAC) 基于角色的访问控制 裸金属架构 认证 审计跟踪 CC安全评估级 CC安全测试用例集 FIPS 140-2 认证加密 源代码开放 资源控制 磁盘加密 VSIP服务器虚拟化解决方案全文共35页,当前为第3页...
日志审计功能实现
GuYan的博客
08-30 5176
日志审计功能就是将用户进行的增加、修改和删除操作内容、操作方法、操作人以及操作时间等统一格式后集中放入数据库存储,这样做是为了提高系统的安全性,方便系统发生事故后的溯源和恢复。
菜鸟学习之linux用户行为日志审计方案
weixin_34179762的博客
10-14 238
今天学习了了sudo日志审计,专门对使用sudo命令系统的用户记录其执行的相关命令信息说明:所谓sudo命令日志审计,不记录普通用户操作,而是记录执行sudo命令的用户操作1、安装sudo命令,syslog服务[root@qzj~]#rpm-qa|egrep"sudo|syslog" rsyslog-5.8.10-10.el6_6.x86_64 sudo-1.8.6...
Linux安全之auditd审计工具使用说明
最新发布
Innocence_0的博客
02-27 1318
audited是Linux审核系统的用户空间组件。它负责将审核记录写入磁盘。查看日志是通过ausearch或aureport实用程序完成的。审核系统或加载规则的配置是使用auditctl实用程序完成的。在启动过程中,/etc/audit/audit.rules中的规则由auditctl读取并加载到内核中。另外,还有一个augenrules程序,它读取/etc/audit/rules.d/中的规则,并将它们编译为audit.rules文件。
linux 开启审计功能及规则配置
m0_74282605的博客
02-09 2060
【推荐阅读】#查询审计功能#审计日志文件目录#编辑审计配置文件加入以下配置规则:#自定义审计规则#重启审计服务#查询审计配置规则。
Linux 配置用户命令日志审计功能
浪屋剑客
11-21 8584
目的:监控登陆上linux 系统服务器的用户,所使用过的命令。 采用以下步骤配置用户命令日志审计功能: 1.创建用户审计文件存放目录和审计日志文件 ;  mkdir -p /var/log/usermonitor/ 2.创建用户审计日志文件; echo usermonitor >/var/log/usermonitor/usermonitor.log 3.将日志文件所有者赋予一
15、Linux日志审计
carmi的博客
10-30 31
Linux日志审计 目录Linux日志审计1、日志文件的功能和分类2、日志文件保存位置和文件介绍3、管理日志服务的配置文件4、内核及系统日志5、日志消息的级别6、日志记录的一般格式7、用户日志分析8、程序日志分析9、日志服务器搭建10、补充1、日志文件的功能和分类 日志功能 用于记录系统、程序运行中发生的各种事件。 通过阅读日志,有助于诊断和解决系统故障日志。 文件的分类 1、内核及系统日志:...
大势至共享文件审计系统
12-24
2、大势至共享文件审计系统同时支持Linux操作系统和Windows操作系统,从而具有更好的适应性,满足各个系统平台用户的监控共享文件的需求。 3、大势至共享文件审计系统支持主流的各种数据库,如ACCESS、MySql、SQL...
大势至服务器共享文件访问记录软件 v3.1.zip
07-03
2、大势至共享文件审计系统同时支持Linux操作系统和Windows操作系统,从而具有更好的适应性,满足各个系统平台用户的监控共享文件的需求。 3、大势至共享文件审计系统支持主流的各种数据库,如ACCESS、MySql、SQL、...
TCP/IP技术大全(中文PDF非扫描版)
08-12
19.4.4 UNIX和Linux系统上的UUCP 209 19.5 应付最坏情况 210 19.6 小结 210 第六部分 实现TCP/IP 第20章 一般配置问题 211 20.1 安装网卡 211 20.1.1 网卡 211 20.1.2 资源配置 212 20.1.3 安装适配器软件 213 20.1....
TCP-IP技术大全
12-01
19.4.4 UNIX和Linux系统上的UUCP 209 19.5 应付最坏情况 210 19.6 小结 210 第六部分 实现TCP/IP 第20章 一般配置问题 211 20.1 安装网卡 211 20.1.1 网卡 211 20.1.2 资源配置 212 20.1.3 安装适配器软件 213 20.1....
X18-操作系统 linux日志审计
h1825819493的博客
05-19 811
路径:/etc/logrotate.conf正常普通程序服务都可以通过这四个设置进行配置这两个文件的优先级高于上面的优先级。
上网行为审计软件系统有哪些?(上网行为审计软件,有哪些)
DCY18033745888的博客
01-02 385
总之,以上五个上网行为审计软件都具有强大的监控和记录功能,可以帮助企业和机构对员工的上网行为进行管理和监控。:讯软软件是一款功能强大的上网行为审计软件,可以实时监控和记录用户的上网行为。此外,讯软软件还提供了丰富的报表和分析功能,帮助管理员了解用户的上网习惯和行为模式。:洞察眼MIT系统是一款功能强大的上网行为审计软件,可以实时监控和记录用户的上网行为,包括浏览网页、发送邮件、下载文件等。它还提供了丰富的报表和分析功能,帮助管理员了解用户的上网习惯和行为模式。
Linux日志巡检之日常操作及安全审计
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
04-21 6358
一、背景 本文专门针对Linux系统运维当中相关日志,总结概述经常要执行的操作,以备参考辅助。 二、常见日志 /var/log/message 系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一,一般系统整体运行信息都会记录在该日志里,其中也包含系统启动期间的日志。此外,mail,cron,daemon,kern和auth等内容也会记录在var/log/messages日志中。 /var/log/daemon.log:记录包含各种系统后台守护进程日志信息 /var/log/maill
LAUREL:一款功能强大的Linux事件日志审计和转换工具
小王的储物间
02-07 241
io/laurel/blob/master/etc/audit/plugins.d/laurel.conf)拷贝到/etc/audisp/plugins.d/laurel.conf或/etc/audit/plugins.d/laurel.conf,具体取决于审计器版本。io/laurel/blob/master/etc/laurel/config.toml)拷贝到/etc/laurel/config.toml,并对其进行自定义配置。将LAUREL注册为一个audisp插件:将提供的[
适用于 Linux 系统的综合日志审计和报告
ITmoster的博客
07-28 567
EventLog Analyzer是一个全面的系统日志管理解决方案,可监控所有日志以维护安全的Linux环境。
【项目记录】Linux日志审计系统
linjiuxiansheng的博客
03-26 782
本作品实现了对客户端的Linux系统日志审计以及警报。使用者只需预留用于警报的邮箱,在客户端部署软件,即可实现对Linux系统日志的转发分析以及通过客户预留的邮箱进行警报,适用于Linux个体以及集群对系统的实时监听。实现日志转发、审计和报警的工作、一键部署rsyslog环境、利用rsyslog转发日志、分析处理日志mysql数据库、用java搭建可视化界面与WEB可视化界面并实现警报功能
linux设置日志文件保存时间方法
Engineer_zou的博客
03-28 5577
在这个例子中,/path/to/your/log/file 是您要轮转的日志文件的路径。rotate 26 表示将保留最近 26 个日志文件,也就是半年的时间,因为一天有24小时,半年大概有180天,180天/7天 = 25周余5天,所以设置成26即可。在Linux中,通常使用日志轮转(Log rotation)来控制日志文件的保留和管理。日志轮转允许您在生成新日志文件时将旧日志文件归档或删除。这将模拟 logrotate 轮转日志文件的操作,并输出日志文件将如何被轮转的详细信息。3.保存配置文件并退出。
LINUX日志审计
2302_77424749的博客
05-06 1029
5.在状态码前面可查看该账户访问过的文件夹,状态码后面可查看该账户所使用的浏览器客户端页面的来源地址以及浏览器类型和版本号等信息以便溯源。5.btmp日志:记录了登录失败的登录信息,需要使用 lastb 进行查看。1.首先可看登录次数较多的IP地址以及账号,查看非本地IP地址或者异常IP,是否有尝试破解登录等操作。3.utmp日志:记录了当前正在登录的系统的信息,需要使用 who 命令或者 w 命令。4.wtmp日志:记录了当前和历史登录的用户信息,需要使用 last 命令进行查看。
linux日志审计配置
05-26
Linux系统中进行日志审计可以帮助管理员更好地了解系统的运行状况和发现潜在的安全问题。下面是一个简单的步骤,用于配置Linux系统的日志审计。 1. 安装 audit 工具 在大多数 Linux 发行版中,audit 工具已经预安装。如果没有,可以使用以下命令安装: ``` sudo apt-get install auditd # Debian/Ubuntu sudo yum install audit # CentOS/RHEL ``` 2. 配置审计规则 审计规则用于确定哪些事件需要被记录下来。可以编辑 /etc/audit/rules.d/audit.rules 文件来定义审计规则。这个文件可能已经存在了,如果不存在,可以手动创建。 以下是一个例子: ``` # This file contains the auditctl rules that are loaded # whenever the audit daemon is started via the init scripts. # The rules are simply the parameters that would be passed # to auditctl. # First rule - delete all -D # Increase the buffers to survive stress events. # Make this bigger for busy systems -b 8192 # Feel free to add below this line. See auditctl man page # for more information ``` 3. 启动 auditd 服务 配置完成后,启动 auditd 服务: ``` sudo systemctl start auditd ``` 4. 查看审计日志 审计日志存储在 /var/log/audit/audit.log 文件中。可以使用以下命令来查看日志: ``` sudo ausearch -i -ts today ``` 这将显示今天发生的所有审计事件。可以使用其他选项来指定时间范围、事件类型等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值