centos6 配置sudo命令日志审计

前端之家收集整理的这篇文章主要介绍了centos6 配置sudo命令日志审计前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

配置sudo命令日志审计

说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录那些执行sudo命令的用户的操作。

项目实战:

服务器日志审计项目提出与实施

  1. 权限方案实施后,权限得到了细化控制,接下来进一步实施以地所有用户日志记录方案。

  2. 通过sudosyslog(rsyslog)配合实现对所有用户进行日志审计并将记录集中管理(发送到中心日志服务器)

  3. 实施后,让所有运维和开发的所有执行的sudo管理命令都记录可查,杜绝了内部人员的操作安全隐患

生产环境日志审记解决之案:

1:通过环境变量命令及syslog服务进行全部日志审记(信息太大,不推荐)

2sudo配命syslog服务,进行日志审计(信息较少,效果不错)

3:在bash解释器程序里嵌入一个监视器,让所有被审记的系统用户使用修改过的增加了监视器的特殊bash程序作为解释程序

4:齐治的堡垒机:商业产品

现在我们用的sudo日志审记,专门对使用sudo命令的系统用户记录其执行的命令相关信息

centos6系统配置日审记

1. 1. 安装sudo命令,syslog服务(centos6.4rsyslog服务)

[root@dingjian~]#rpm-aq|egrep"sudo|rsyslog"
rsyslog-5.8.10-6.el6.x86_64
sudo-1.8.6p3-7.el6.x86_64

如果没有安装则执行下面的命令安装

yuminstallsudorsyslog�Cy


2. 配置系统日志/etc/syslog.conf

Centos6系统的rsyslog.conf的配置文件路径是/etc/rsyslog.conf
[root@dingjian~]#echo"local2.debug/var/log/sudo.log">>/etc/rsyslog.conf
[root@dingjian~]#tail-1/etc/rsyslog.conf
local2.debug/var/log/sudo.log

3. 配置/etc/sudoers

增加配置”Defaults logfile=/var/log/sudo.log”/etc/sudoers中,注意:不包含引号

[root@dingjian~]#echo"Defaultslogfile=/var/log/sudo.log">>/etc/sudoers
[root@dingjian~]#tail-1/etc/sudoers
Defaultslogfile=/var/log/sudo.log
[root@dingjian~]#visudo-c
/etc/sudoers:parsedOK

4. 重启syslog内核日志记录器

[root@dingjian~]#/etc/init.d/rsyslogrestart
Shuttingdownsystemlogger:[OK]
Startingsystemlogger:[OK]

5. 测试 sudo日志审计配置结果

用户tom拥有root ALL权限,用户bobo拥有/usr/sbin/useradd,/usr/sbin/passwd权限

[tom@dingjian~]$sudouseraddbobo

WetrustyouhavereceivedtheusuallecturefromthelocalSystem
Administrator.Itusuallyboilsdowntothesethreethings:

#1)Respecttheprivacyofothers.
#2)Thinkbeforeyoutype.
#3)Withgreatpowercomesgreatresponsibility.
.
[sudo]passwordfortom:
[tom@dingjian~]$sudopasswdbobo
Changingpasswordforuserbobo.
Newpassword:
Retypenewpassword:
passwd:allauthenticationtokensupdatedsuccessfully.

[mary@dingjian~]$sudouseraddqwe
[mary@dingjian~]$sudopasswdqwe
Changingpasswordforuserqwe.
Newpassword:
Retypenewpassword:
passwd:allauthenticationtokensupdatedsuccessfully.


[root@dingjian~]#cat/var/log/sudo.log
Dec2823:14:14:tom:TTY=pts/0;PWD=/home/tom;USER=root;
COMMAND=/usr/sbin/useraddbobo
Dec2823:14:21:tom:TTY=pts/0;PWD=/home/tom;USER=root;
COMMAND=/usr/bin/passwdbobo
Dec2823:23:18:tom:1incorrectpasswordattempt;TTY=pts/0;PWD=/home/tom
;USER=root;COMMAND=/usr/sbin/useraddbobo
Dec2823:23:21:tom:TTY=pts/0;PWD=/home/tom;USER=root;
COMMAND=/usr/sbin/useraddbobo
Dec2823:24:11:mary:TTY=pts/0;PWD=/home/mary;USER=root;COMMAND=list
Dec2823:24:30:mary:commandnotallowed;TTY=pts/0;PWD=/home/mary;
USER=root;COMMAND=/usr/bin/passwd
Dec2823:24:40:mary:commandnotallowed;TTY=pts/0;PWD=/home/mary;
USER=root;COMMAND=/usr/bin/passwd
Dec2823:24:53:mary:commandnotallowed;TTY=pts/0;PWD=/home/mary;
USER=root;COMMAND=/usr/bin/passwdmary
Dec2823:25:35:mary:TTY=pts/0;PWD=/home/mary;USER=root;
COMMAND=/usr/sbin/useraddqwe
Dec2823:25:46:mary:commandnotallowed;TTY=pts/0;PWD=/home/mary;
USER=root;COMMAND=/usr/bin/passwdqwe

猜你在找的CentOS相关文章