当前位置: > CentOS > CentOS教程 >

centos6 配置sudo命令日志审计

时间:2017-06-08 13:22来源:linux.it.net.cn 作者:IT

配置sudo命令日志审计

说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录那些执行sudo命令的用户的操作。

项目实战:

服务器日志审计项目提出与实施

  1. 权限方案实施后,权限得到了细化控制,接下来进一步实施以地所有用户日志记录方案。

  2. 通过sudo和syslog(rsyslog)配合实现对所有用户进行日志审计并将记录集中管理(发送到中心日志服务器)、

  3. 实施后,让所有运维和开发的所有执行的sudo管理命令都记录可查,杜绝了内部人员的操作安全隐患

 

生产环境日志审记解决之案:

法1:通过环境变量命令及syslog服务进行全部日志审记(信息太大,不推荐)

法2:sudo配命syslog服务,进行日志审计(信息较少,效果不错)

法3:在bash解释器程序里嵌入一个监视器,让所有被审记的系统用户使用修改过的增加了监视器的特殊bash程序作为解释程序

法4:齐治的堡垒机:商业产品

现在我们用的sudo日志审记,专门对使用sudo命令的系统用户记录其执行的命令相关信息

 

★centos6系统配置日审记

1. 1. 安装sudo命令,syslog服务(centos6.4为rsyslog服务)

[root@dingjian ~]# rpm -aq|egrep"sudo|rsyslog"
rsyslog-5.8.10-6.el6.x86_64
sudo-1.8.6p3-7.el6.x86_64

如果没有安装则执行下面的命令安装

 
yum install sudo rsyslog –y

 

2. 配置系统日志/etc/syslog.conf

Centos6系统的rsyslog.conf的配置文件路径是/etc/rsyslog.conf
[root@dingjian ~]# echo "local2.debug/var/log/sudo.log">>/etc/rsyslog.conf
[root@dingjian ~]# tail -1 /etc/rsyslog.conf
local2.debug /var/log/sudo.log

 

3. 配置/etc/sudoers

增加配置”Defaults         logfile=/var/log/sudo.log”到/etc/sudoers中,注意:不包含引号

[root@dingjian ~]# echo "Defaults    logfile=/var/log/sudo.log">>/etc/sudoers
[root@dingjian ~]# tail -1 /etc/sudoers
Defaults    logfile=/var/log/sudo.log
[root@dingjian ~]# visudo -c
/etc/sudoers: parsed OK

 

4. 重启syslog内核日志记录器

[root@dingjian ~]# /etc/init.d/rsyslogrestart
Shutting down system logger:                               [  OK  ]
Starting system logger:                                    [  OK  ]

 

5. 测试 sudo日志审计配置结果

用户tom拥有root  ALL权限,用户bobo拥有/usr/sbin/useradd,/usr/sbin/passwd权限

[tom@dingjian ~]$ sudo useradd bobo
 
We trust you have received the usuallecture from the local System
Administrator. It usually boils down tothese three things:
 
   #1) Respect the privacy of others.
   #2) Think before you type.
   #3) With great power comes great responsibility.
.
[sudo] password for tom:
[tom@dingjian ~]$ sudo passwd bobo
Changing password for user bobo.
New password:
Retype new password:
passwd: all authentication tokens updatedsuccessfully.
 
[mary@dingjian ~]$ sudo useradd qwe
[mary@dingjian ~]$ sudo passwd qwe
Changing password for user qwe.
New password:
Retype new password:
passwd: all authentication tokens updatedsuccessfully.
 
 
[root@dingjian ~]# cat /var/log/sudo.log
Dec 28 23:14:14 : tom : TTY=pts/0 ;PWD=/home/tom ; USER=root ;
   COMMAND=/usr/sbin/useradd bobo
Dec 28 23:14:21 : tom : TTY=pts/0 ;PWD=/home/tom ; USER=root ;
   COMMAND=/usr/bin/passwd bobo
Dec 28 23:23:18 : tom : 1 incorrectpassword attempt ; TTY=pts/0 ; PWD=/home/tom
    ;USER=root ; COMMAND=/usr/sbin/useradd bobo
Dec 28 23:23:21 : tom : TTY=pts/0 ;PWD=/home/tom ; USER=root ;
   COMMAND=/usr/sbin/useradd bobo
Dec 28 23:24:11 : mary : TTY=pts/0 ;PWD=/home/mary ; USER=root ; COMMAND=list
Dec 28 23:24:30 : mary : command notallowed ; TTY=pts/0 ; PWD=/home/mary ;
   USER=root ; COMMAND=/usr/bin/passwd
Dec 28 23:24:40 : mary : command notallowed ; TTY=pts/0 ; PWD=/home/mary ;
    USER=root ; COMMAND=/usr/bin/passwd
Dec 28 23:24:53 : mary : command notallowed ; TTY=pts/0 ; PWD=/home/mary ;
   USER=root ; COMMAND=/usr/bin/passwd mary
Dec 28 23:25:35 : mary : TTY=pts/0 ;PWD=/home/mary ; USER=root ;
   COMMAND=/usr/sbin/useradd qwe
Dec 28 23:25:46 : mary : command notallowed ; TTY=pts/0 ; PWD=/home/mary ;
   USER=root ; COMMAND=/usr/bin/passwd qwe
 


(责任编辑:IT)
------分隔线----------------------------
栏目列表
推荐内容