linux用户权限管理及日志审计

/var/db/sudo 授权sudo用户的密码时间戳地址 %sa代表授权一个组。
一般用visudo操作它会自动检查语法避免错误，如果用echo方式追加进/etc/sudoers里那么就需要用visudo -c手动检查下语法。sudo -l查看自身权限。
可以设置用户别名，权限别名等，主机别名等让它们在sudoers里调用。
批量创建用户和密码：
groupadd -g 999 phpers
for n in `seq 5`
do
useradd -g phpers php00$n
echo ‘111111’ |passwd --stdin php00$n
done
别名分类加入sudoers：
##Cmnd_Alias by weipeng##2017
Cmnd_Alias CY_CMD_1=/usr/bin/free,/usr/bin/iostat,/usr/bin/top
Cmnd_Alias GY_CMD_1=/usr/bin/free,/usr/bin/iostat,/usr/bin/top
然后visudo贴到结尾。
然后注意切换到root提权：
Runas_Alias OP=root !/usr/sbin/visudo表示不能只能visudo 用‘\’换行

日志审计：
rpm-qa 查询软件包有没安装
1、echo “Defaults logfile=/var/log/sudo.log”>>/etc/sudoers
2、Echo “local2.debug /var/log/sudo.log”>>/etc/syslog.conf
3、/etc/init.d/syslog restart
原理syslog当/var/log/sudo.log追加到syslog.conf后权限只有root有读写权限，避免了其他用户有权限将sudo.log将日志删除了。然后会在sudo.log里留下用户操作的日志。