第二十一天-linux用户行为日志审计方案
2015-12-03 23:14
615 查看
今日笔记:
我们今天要学习的是:sudo日志审计,专门对使用sudo命令的系统用户记录其执行的命令相关信息。
说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录,那些执行sudo命令的用户的操作。
1、安装sudo命令,syslog服务(centos6.4为rsyslog服务)
如果没有安装则执行下面的命令安装:
2、配置/etc/sudoers
增加配置 “Defaults logfile=/var/log/sudo.log” 到/etc/sudoers中,注意:不包含引号。
提示:下面的3、4可以不执行,直接切换到普通操作,然后查看/var/log/sudo.log有无操作。
3、配置系统日志/etc/rsyslog.conf
增加配置local2.debug到/etc/rsyslog.conf中
4、重启syslog内核日志记录器
此时,会自动建立一个/var/log/sudo.log文件(日志中配置的名字)并且文件权限为600,所有者和组均为root(如果看不到日志文件,就退出重新登录看看)。
5、测试sudo 日志审计结果
根据前文讲解的建立用户oldboy拥有sudo 权限,同时使用root用户登录查看/var/log/sudo.log
查看日志统计结果:
生产环境日志审计解决方案:
所谓日志审计,就是记录所有系统及相关用户行为的信息,并且可以自动分析,处理,展示(包括文本或着录像)
方法1:通过环境变量命令及syslog服务进行全部日志审计(信息太大,不推荐)
方法2:sudo配合syslog服务,进行日志审计(信息较少,效果不错)
方法3:在bash解释器程序里嵌入一个监视器,让所有被审计的系统用户使用修改过的增加了监视器的特殊bash程序作为解释程序。
方法4:齐治的堡垒机:商业产品
日志集中管理(了解):
1、rsync+inotify或定时任务+rsync,推到日志管理服务器上,10.0.0.7_20151203.sudo.log
2、rsyslog服务来处理
3、日志收集解决方案:scribe,flume,stom,logstash
我们今天要学习的是:sudo日志审计,专门对使用sudo命令的系统用户记录其执行的命令相关信息。
说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录,那些执行sudo命令的用户的操作。
1、安装sudo命令,syslog服务(centos6.4为rsyslog服务)
[xiaorui@lrz ~]$ rpm -qa|egrep "sudo|syslog" rsyslog-5.8.10-8.el6.x86_64 sudo-1.8.6p3-12.el6.x86_64
如果没有安装则执行下面的命令安装:
[xiaorui@lrz ~]$ yum install sudo rsyslog -y
2、配置/etc/sudoers
增加配置 “Defaults logfile=/var/log/sudo.log” 到/etc/sudoers中,注意:不包含引号。
[root@lrz ~]# echo "Defaults logfile=/var/log/sudo.log">>/etc/sudoers [root@lrz ~]# tail -1 /etc/sudoers Defaults logfile=/var/log/sudo.log [root@lrz ~]# visudo -c #-->检查sudoers文件语法 /etc/sudoers: parsed OK
提示:下面的3、4可以不执行,直接切换到普通操作,然后查看/var/log/sudo.log有无操作。
3、配置系统日志/etc/rsyslog.conf
增加配置local2.debug到/etc/rsyslog.conf中
[root@lrz ~]# echo "local2.debug /var/log/sudo.log">>/etc/rsyslog.conf [root@lrz ~]# tail -1 /etc/rsyslog.conf local2.debug /var/log/sudo.log
4、重启syslog内核日志记录器
[root@lrz ~]# /etc/init.d/rsyslog restart Shutting down system logger: [ OK ] Starting system logger: [ OK ]
此时,会自动建立一个/var/log/sudo.log文件(日志中配置的名字)并且文件权限为600,所有者和组均为root(如果看不到日志文件,就退出重新登录看看)。
[root@lrz ~]# ls -l /var/log/sudo.log -rw-------. 1 root root 0 Dec 3 14:50 /var/log/sudo.log
5、测试sudo 日志审计结果
根据前文讲解的建立用户oldboy拥有sudo 权限,同时使用root用户登录查看/var/log/sudo.log
[xiaorui@lrz ~]$ sudo useradd zzy [sudo] password for xiaorui: [xiaorui@lrz ~]$ sudo userdel zzy [xiaorui@lrz ~]$ cd /home [xiaorui@lrz home]$ ls xiaorui zzy [xiaorui@lrz home]$ sudo userdel -r zzy userdel: user 'zzy' does not exist [xiaorui@lrz home]$ rm -rf zzy/ rm: 无法删除"zzy": 权限不够 [xiaorui@lrz home]$ sudo rm -rf zzy/ [xiaorui@lrz home]$ ls xiaorui
查看日志统计结果:
[root@lrz ~]# tail -20 /var/log/sudo.log Dec 3 14:53:03 : xiaorui : TTY=pts/0 ; PWD=/home/xiaorui ; USER=root ; COMMAND=/usr/sbin/useradd zzy Dec 3 14:53:14 : xiaorui : TTY=pts/0 ; PWD=/home/xiaorui ; USER=root ; COMMAND=/usr/sbin/userdel zzy Dec 3 14:53:36 : xiaorui : TTY=pts/0 ; PWD=/home ; USER=root ; COMMAND=/usr/sbin/userdel -r zzy Dec 3 14:53:53 : xiaorui : TTY=pts/0 ; PWD=/home ; USER=root ; COMMAND=/bin/rm -rf zzy/ Dec 3 14:54:03 : xiaorui : TTY=pts/0 ; PWD=/home ; USER=root ; COMMAND=/bin/su -
生产环境日志审计解决方案:
所谓日志审计,就是记录所有系统及相关用户行为的信息,并且可以自动分析,处理,展示(包括文本或着录像)
方法1:通过环境变量命令及syslog服务进行全部日志审计(信息太大,不推荐)
方法2:sudo配合syslog服务,进行日志审计(信息较少,效果不错)
方法3:在bash解释器程序里嵌入一个监视器,让所有被审计的系统用户使用修改过的增加了监视器的特殊bash程序作为解释程序。
方法4:齐治的堡垒机:商业产品
日志集中管理(了解):
1、rsync+inotify或定时任务+rsync,推到日志管理服务器上,10.0.0.7_20151203.sudo.log
2、rsyslog服务来处理
[root@lrz ~]# echo "10.0.2.164 logserver">>/etc/hosts [root@lrz ~]# echo "*.info @logserver">>/etc/rsyslog.conf
3、日志收集解决方案:scribe,flume,stom,logstash
相关文章推荐
- linux C 函数
- Linux文件系统的设计
- Linux内核与根文件系统的关系
- CentOS 6.7安装在VMWare中Bridge模式下网卡eth0不能自动激活的问题
- Linux 目录使用笔记
- Linux进程间通信(IPC)编程实践(九)System V信号量---封装一个信号量操作的工具集
- Linux使用笔记: 设置Samba服务器中新建文件/目录的权限
- 专访Linux嵌入式开发韦东山操作系统图书作者--转
- 【linux】mv命令
- SSH自动登录Linux
- Linux学习笔记(十三、关机和重启命令)
- centos 安装htop
- CentOS 6.x的安装过程及实现自动安装
- Linux下搭建Jenkins服务器
- Linux学习笔记(十二、选项帮助)
- Centos7 安装配置 VNCserver
- Linux串口详解
- Linux安装telnet
- U-boot mkimage指定Linux内核地址时的两种方式
- 在虚拟机上linux系统上上网