日誌審計,就是記錄所有系統和相關使用者行為的資訊,並且可以自動分析,處理。在中小企業環境中,一般都是在單個伺服器上記錄日誌,而大型企業的生產環境當中,會有專門的日誌伺服器乃至集群。本文通過sudo配合centos自帶的rsyslog(syslog)服務,進行日誌審計。
專案描述:
1.許可權控制後進一步實施對所有使用者日誌記錄方案
2.通過sudo 和syslog配合實現對所有使用者進行日誌審計並將記錄集中管理
3.實施後讓所有運維和開發的所有執行的命令都有記錄可查,杜絕了內部人員的操作安全隱患
這裡要記錄的日誌,並不記錄普通使用者的普通操作,而是記錄執行sudo命令的使用者的操作。
實施步驟:
1.確認rsyslog(syslog),sudo有沒有安裝。沒有安裝的話直接使用yum安裝
2.配置sudoers配置檔案,把執行了sudo命令的使用者資訊存放到指定的日誌檔案,然後使用visudo -c檢查sudoers配置檔案是否編譯正確:
echo "defaults logfile=/var/log/sudo.log">>/etc/sudoers
##then syntax the config file
visudo -c
3.接下來配置rsyslog服務的配置檔案:
echo "local2.debug /var/log/sudo.log">>/etc/rsyslog.conf
表示制定local2的裝置列印debug級別的錯誤,並將結果列印至sudo.log檔案裡面
4.配置好rsyslog的配置檔案以後,重啟syslog服務
/etc/init.d/rsyslog restart
這個時候發現rsyslog服務已經自動建立好了sudo.log這個檔案:
[root@localhost ~]# ll /var/log/sudo.log
-rw-------. 1 root root 276 oct 21 05:11 /var/log/sudo.log
5.測試
切換到其他使用者,執行sudo命令:
[chuji001@localhost ~]$ sudo useradd testuser
[sudo] password for chuji001:
sorry, user chuji001 is not allowed to execute '/usr/sbin/useradd testuser' as root on localhost.localdomain.
[root@localhost ~]# cat /var/log/sudo2.log
oct 21 05:11:46 : chuji001 : command not allowed ; tty=pts/0 ;
pwd=/home/chuji001 ; user=root ; command=/usr/sbin/useradd kkkkkkk
oct 21 05:11:57 : chuji001 : command not allowed ; tty=pts/0 ;
pwd=/home/chuji001 ; user=root ; command=/usr/sbin/useradd lkajsdflkajsfld
oct 21 06:01:34 : chuji001 : command not allowed ; tty=pts/0 ;
pwd=/home/chuji001 ; user=root ; command=/usr/sbin/useradd testuser
centos7日誌檔案 centos7 日誌檔案
linux常見的日誌檔案詳述如下1 var log boot.log 自檢過程 2 var log cron crontab守護程序crond所派生的子程序的動作 3 var log maillog 傳送到系統或從系統發出的電子郵件的活動 4 var log syslog 它只記錄警告資訊,常常是系...
前端生產環境搭建 centos(未完)
1 安裝必要的make以及gcc,gcc c 編譯器 yum y install make gcc gcc c 2 獲取原始碼 wget c 3 解壓原始碼 tar zxvf node v0.8.14.tar.gz 4 進行編譯及安裝 cd node v0.8.14 configure make m...
Docker 生產環境之日誌 使用日誌驅動外掛程式
docker 日誌外掛程式允許你在內建的日誌驅動程式之外擴充套件和定製 docker 的日誌功能。日誌服務提供方可以實現他們自己的外掛程式以在 docker hub docker store 和私有 registry 上使用其服務。本主題講述這種日誌服務下的使用者如何將 docker 配置為使用外掛...