生產環境日志審計

21期王逸凡 ? ? Linux干貨

     日志審計,就是記錄所有系統和相關用戶行為的信息,并且可以自動分析,處理。在中小企業環境中,一般都是在單個服務器上記錄日志,而大型企業的生產環境當中,會有專門的日志服務器乃至集群。本文通過sudo配合centos自帶的rsyslog(syslog)服務,進行日志審計。

     項目描述:

     1.權限控制后進一步實施對所有用戶日志記錄方案

     2.通過sudo 和syslog配合實現對所有用戶進行日志審計并將記錄集中管理

     3.實施后讓所有運維和開發的所有執行的命令都有記錄可查,杜絕了內部人員的操作安全隱患

      這里要記錄的日志,并不記錄普通用戶的普通操作,而是記錄執行sudo命令的用戶的操作。

      實施步驟:

      

      1.確認rsyslog(syslog),sudo有沒有安裝。沒有安裝的話直接使用Yum安裝

    

      2.配置sudoers配置文件,把執行了sudo命令的用戶信息存放到指定的日志文件,然后使用visudo -c檢查sudoers配置文件是否編譯正確:

  

echo "Defaults            logfile=/var/log/sudo.log">>/etc/sudoers
##then syntax the config file
visudo -c

       3.接下來配置rsyslog服務的配置文件:

echo "local2.debug       /var/log/sudo.log">>/etc/rsyslog.conf

       表示制定local2的設備打印debug級別的錯誤,并將結果打印至sudo.log文件里面

       4.配置好rsyslog的配置文件以后,重啟syslog服務

    /etc/init.d/rsyslog restart

       這個時候發現rsyslog服務已經自動創建好了sudo.log這個文件:

[root@localhost ~]# ll /var/log/sudo.log 
-rw-------. 1 root root 276 Oct 21 05:11 /var/log/sudo.log

        5.測試

        切換到其他用戶,執行sudo命令:

[chuji001@localhost ~]$ sudo useradd testuser
[sudo] password for chuji001: 
Sorry, user chuji001 is not allowed to execute '/usr/sbin/useradd testuser' as root on localhost.localdomain.

       切換回root用戶,發現相關操作已經記錄到了日志文件當中去:

[root@localhost ~]# cat /var/log/sudo2.log
Oct 21 05:11:46 : chuji001 : command not allowed ; TTY=pts/0 ;
    PWD=/home/chuji001 ; USER=root ; COMMAND=/usr/sbin/useradd kkkkkkk
Oct 21 05:11:57 : chuji001 : command not allowed ; TTY=pts/0 ;
    PWD=/home/chuji001 ; USER=root ; COMMAND=/usr/sbin/useradd lkajsdflkajsfld
Oct 21 06:01:34 : chuji001 : command not allowed ; TTY=pts/0 ;
    PWD=/home/chuji001 ; USER=root ; COMMAND=/usr/sbin/useradd testuser

       結語:上述的日志記錄只是單機的日志記錄,之后的文章會推出rsync+inotify將日志推送到專門的日志服務器當中去。

原創文章,作者:21期王逸凡,如若轉載,請注明出處:http://www.www58058.com/53300

(1)
21期王逸凡21期王逸凡
上一篇 2016-10-20 21:41
下一篇 2016-10-20 22:46

相關推薦

  • NFS實現共享wordpress

    實驗環境 192.168.68.134 wordpress站點 nfs-server 192.168.68.144 nfs-client   實驗要求 nfs server共享/var/www/html目錄 nfs clinet掛載nfs-server共享的目錄,部署wordpress   nfs server端 先部署wordpress…

    Linux干貨 2017-10-21

  • Linux終端類型

    Linux終端類型 Linux系統中的終端基本都在/dev目錄下,可分為文本命令行模式和圖形界面模式。命令行模式是一種字符設備,通常使用tty來簡稱各種類型的終端設備。tty是Teletype的縮寫。Teletype是最早出現的一種終端設備,很象電傳打字機,是由Teletype公司生產的。 1、 物理終端 在Unix系統中,計算機顯示器通常被稱為控制臺終端?!?/p>

    Linux干貨 2016-10-14

  • 馬哥教育網絡班21期+第8周課程練習

    1、請描述網橋、集線器、二層交換機、三層交換機、路由器的功能、使用場景與區別。 集線器的主要功能是對接收到的信號進行再生整形放大,以擴大網絡的傳輸距離,同時把所有節點集中在以它為中心的節點上。它工作于OSI(開放系統互聯參考模型)參考模型第一層,即“物理層”。 網橋將兩個相似的網絡連接起來,并對網絡數據的流通進行管理。它工作于數據鏈路層,不但能擴展網絡的距離…

    Linux干貨 2016-09-19

  • 第六周作業補充-vim簡介及其使用方法詳細介紹

    What       Vim是由Vi發展出來的一個文本編輯器。代碼補全、編譯及錯誤跳轉等方便編程的功能特別豐富,在Unix& Unix Like操作系統中被廣泛使用。和Emacs并列成為Unix& Unix Like操作系統中最受歡迎的文本編輯器 When& Who  &nb…

    Linux干貨 2016-09-26

  • 07程序包管理器簡介

    源代碼命名方式,name-version.tar.gz|bz2|xz,    –>version:major.minor.release 要將一個源代碼程序安裝到Linux系統上,一般有兩個方法。 1、找到源代碼,手動編譯安裝。解壓,./configure  –> make –&g…

    Linux干貨 2016-11-03

  • N25 第二周作業

    一.Linux上常用的文件管理類命令及用法示例     1.cp復制命令,具體有兩個,一為單源復制,一種為多源復制。      常用選項         -i :交互式復制,覆蓋之前提醒用戶確認。       …

    Linux干貨 2016-12-12
欧美性久久久久