生產環境日志審計

21期王逸凡 ? ? Linux干貨

     日志審計,就是記錄所有系統和相關用戶行為的信息,并且可以自動分析,處理。在中小企業環境中,一般都是在單個服務器上記錄日志,而大型企業的生產環境當中,會有專門的日志服務器乃至集群。本文通過sudo配合centos自帶的rsyslog(syslog)服務,進行日志審計。

     項目描述:

     1.權限控制后進一步實施對所有用戶日志記錄方案

     2.通過sudo 和syslog配合實現對所有用戶進行日志審計并將記錄集中管理

     3.實施后讓所有運維和開發的所有執行的命令都有記錄可查,杜絕了內部人員的操作安全隱患

      這里要記錄的日志,并不記錄普通用戶的普通操作,而是記錄執行sudo命令的用戶的操作。

      實施步驟:

      

      1.確認rsyslog(syslog),sudo有沒有安裝。沒有安裝的話直接使用Yum安裝

    

      2.配置sudoers配置文件,把執行了sudo命令的用戶信息存放到指定的日志文件,然后使用visudo -c檢查sudoers配置文件是否編譯正確:

  

echo "Defaults            logfile=/var/log/sudo.log">>/etc/sudoers
##then syntax the config file
visudo -c

       3.接下來配置rsyslog服務的配置文件:

echo "local2.debug       /var/log/sudo.log">>/etc/rsyslog.conf

       表示制定local2的設備打印debug級別的錯誤,并將結果打印至sudo.log文件里面

       4.配置好rsyslog的配置文件以后,重啟syslog服務

    /etc/init.d/rsyslog restart

       這個時候發現rsyslog服務已經自動創建好了sudo.log這個文件:

[root@localhost ~]# ll /var/log/sudo.log 
-rw-------. 1 root root 276 Oct 21 05:11 /var/log/sudo.log

        5.測試

        切換到其他用戶,執行sudo命令:

[chuji001@localhost ~]$ sudo useradd testuser
[sudo] password for chuji001: 
Sorry, user chuji001 is not allowed to execute '/usr/sbin/useradd testuser' as root on localhost.localdomain.

       切換回root用戶,發現相關操作已經記錄到了日志文件當中去:

[root@localhost ~]# cat /var/log/sudo2.log
Oct 21 05:11:46 : chuji001 : command not allowed ; TTY=pts/0 ;
    PWD=/home/chuji001 ; USER=root ; COMMAND=/usr/sbin/useradd kkkkkkk
Oct 21 05:11:57 : chuji001 : command not allowed ; TTY=pts/0 ;
    PWD=/home/chuji001 ; USER=root ; COMMAND=/usr/sbin/useradd lkajsdflkajsfld
Oct 21 06:01:34 : chuji001 : command not allowed ; TTY=pts/0 ;
    PWD=/home/chuji001 ; USER=root ; COMMAND=/usr/sbin/useradd testuser

       結語:上述的日志記錄只是單機的日志記錄,之后的文章會推出rsync+inotify將日志推送到專門的日志服務器當中去。

原創文章,作者:21期王逸凡,如若轉載,請注明出處:http://www.www58058.com/53300

(1)
21期王逸凡21期王逸凡
上一篇 2016-10-20
下一篇 2016-10-20

相關推薦

  • AWK 的用法

    目錄: 一、概述 二、awk基本語法格式 三、awk基本操作 四、awk條件及循環語句 五、awk函數 六、awk演示示例(源自于man手冊) 一、概述 產品概述:  awk是一種編程語言,用于在linux/unix下對文本和數據進行掃描與處理。數據可以來自標準輸入、文件、管道。&nbsp…

    Linux干貨 2017-05-30

  • M20-1 8月3號 –權限、用戶和組的管理

    一、權限管理:            ls -l                  rwxrwxrwx:               &nb…

    Linux干貨 2016-08-08

  • 馬哥教育網絡19期+第十五周課程練習

    1、總結sed和awk的詳細用法;   a).sed命令 sed可以實現grep的大部分功能,而且還可以查找替換 [root@localhost ~]# sed '10'p -n 1.txt [root@localhost ~]# sed &#039…

    Linux干貨 2016-08-22

  • 用戶及相關權限命令

    2018-03-26

    2018-03-26

  • linux系統上的特殊權限SUID,SGID,STICKY

    特殊權限:SUID SGID STICKY     linux的安全上下文:     1.進程以用戶的身份運行,進程是發起此用戶的代理,因此以此用戶的身份和權限完成所有的操作。     2.權限匹配模型:     1)判斷進程的屬主,是否以被訪問的文件屬主。如果是,則應用屬主權限…

    Linux干貨 2016-08-05

  • MongoDB安裝部署手稿

    Edit MongoDB 手冊 MongoDB 手冊 第一章 Introduction MongoDB入門學習目錄(建議) Databases Collections Documents 第二章 部署安裝 1. Import the MongoDB public key 2. Configure the package management system (…

    Linux干貨 2016-03-26
欧美性久久久久