碼上歡樂
相關內容    簡體    繁體

第二十一天-linux用戶行為日志審計方案

本文轉載自   查看原文   2015-12-03 23:14   2119    linux學習/ 日志審計/ sudo

今日筆記:
我們今天要學習的是:sudo日志審計,專門對使用sudo命令的系統用戶記錄其執行的命令相關信息。

說明:所謂sudo命令日志審計,並不記錄普通用戶的普通操作,而是記錄,那些執行sudo命令的用戶的操作。


1、安裝sudo命令,syslog服務(centos6.4為rsyslog服務)

[xiaorui@lrz ~]$ rpm -qa|egrep "sudo|syslog"
rsyslog-5.8.10-8.el6.x86_64
sudo-1.8.6p3-12.el6.x86_64

如果沒有安裝則執行下面的命令安裝:

[xiaorui@lrz ~]$ yum install sudo rsyslog -y

2、配置/etc/sudoers
  增加配置 “Defaults        logfile=/var/log/sudo.log” 到/etc/sudoers中,注意:不包含引號。

[root@lrz ~]# echo "Defaults     logfile=/var/log/sudo.log">>/etc/sudoers
[root@lrz ~]# tail -1 /etc/sudoers
Defaults     logfile=/var/log/sudo.log
[root@lrz ~]# visudo -c        #-->檢查sudoers文件語法
/etc/sudoers: parsed OK

提示:下面的3、4可以不執行,直接切換到普通操作,然后查看/var/log/sudo.log有無操作。
3、配置系統日志/etc/rsyslog.conf
  增加配置local2.debug到/etc/rsyslog.conf中

[root@lrz ~]# echo "local2.debug    /var/log/sudo.log">>/etc/rsyslog.conf
[root@lrz ~]# tail -1 /etc/rsyslog.conf
local2.debug    /var/log/sudo.log

4、重啟syslog內核日志記錄器

[root@lrz ~]# /etc/init.d/rsyslog  restart
Shutting down system logger:                               [  OK  ]
Starting system logger:                                    [  OK  ] 

  此時,會自動建立一個/var/log/sudo.log文件(日志中配置的名字)並且文件權限為600,所有者和組均為root(如果看不到日志文件,就退出重新登錄看看)。

[root@lrz ~]# ls -l /var/log/sudo.log
-rw-------. 1 root root 0 Dec  3 14:50 /var/log/sudo.log

5、測試sudo 日志審計結果
    根據前文講解的建立用戶oldboy擁有sudo 權限,同時使用root用戶登錄查看/var/log/sudo.log

[xiaorui@lrz ~]$ sudo useradd zzy
[sudo] password for xiaorui:
[xiaorui@lrz ~]$ sudo userdel zzy
[xiaorui@lrz ~]$ cd /home
[xiaorui@lrz home]$ ls
xiaorui  zzy
[xiaorui@lrz home]$ sudo userdel -r zzy
userdel: user 'zzy' does not exist
[xiaorui@lrz home]$ rm -rf zzy/
rm: 無法刪除"zzy": 權限不夠
[xiaorui@lrz home]$ sudo rm -rf zzy/
[xiaorui@lrz home]$ ls
xiaorui

  查看日志統計結果:

[root@lrz ~]# tail -20 /var/log/sudo.log
Dec  3 14:53:03 : xiaorui : TTY=pts/0 ; PWD=/home/xiaorui ; USER=root ;
    COMMAND=/usr/sbin/useradd zzy
Dec  3 14:53:14 : xiaorui : TTY=pts/0 ; PWD=/home/xiaorui ; USER=root ;
    COMMAND=/usr/sbin/userdel zzy
Dec  3 14:53:36 : xiaorui : TTY=pts/0 ; PWD=/home ; USER=root ;
    COMMAND=/usr/sbin/userdel -r zzy
Dec  3 14:53:53 : xiaorui : TTY=pts/0 ; PWD=/home ; USER=root ; COMMAND=/bin/rm
    -rf zzy/
Dec  3 14:54:03 : xiaorui : TTY=pts/0 ; PWD=/home ; USER=root ; COMMAND=/bin/su
    -


生產環境日志審計解決方案:
  所謂日志審計,就是記錄所有系統及相關用戶行為的信息,並且可以自動分析,處理,展示(包括文本或着錄像)
  方法1:通過環境變量命令及syslog服務進行全部日志審計(信息太大,不推薦)
  方法2:sudo配合syslog服務,進行日志審計(信息較少,效果不錯)
  方法3:在bash解釋器程序里嵌入一個監視器,讓所有被審計的系統用戶使用修改過的增加了監視器的特殊bash程序作為解釋程序。
  方法4:齊治的堡壘機:商業產品


日志集中管理(了解):
  1、rsync+inotify或定時任務+rsync,推到日志管理服務器上,10.0.0.7_20151203.sudo.log
  2、rsyslog服務來處理

[root@lrz ~]# echo "10.0.2.164  logserver">>/etc/hosts
[root@lrz ~]# echo "*.info   @logserver">>/etc/rsyslog.conf

  3、日志收集解決方案:scribe,flume,stom,logstash



免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 HTTP TCP UDP ICMP IP ARP 協議詳解(10.15 第二十一天) 手把手教你做關鍵詞匹配項目(搜索引擎)---- 第二十一天 Linux性能優化實戰學習筆記:第二十一講 SpringBoot第二十一篇:整合ActiveMQ 第二十一節:ADO層次上的海量數據處理方案(SqlBulkCopy類插入和更新) 第二十一節:async異步函數和await關鍵字詳解、異常處理方案 小甲魚Python第二十一講課后習題 第二十一節,使用TensorFlow實現LSTM和GRU網絡 Bootstrap3.0學習第二十一輪(JavaScript插件——工具提示) 第二十一章 springboot + 定時任務
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM