工作中我們常常遇到,有的員工不安於被分配的許可權,老是想sudo echo "ziji" /usr/bin/visudo nopasswd:all來進行提權,造成誤刪了資料庫某條重要的資料,或者執行了一條命令對線上生產造成了嚴重的影響,部門老大又苦於找不到造成這種現象的操作者,cto對你們部門直接扣除績效,這樣你們集體成了背鍋俠。。。為了記錄員工做的違規操作行為,所以就有了以下的方案。我們今天要學習的是:sudo日誌審計,專門對使用sudo命令的系統使用者記錄其執行的命令相關資訊,所謂日誌審計,就是記錄所有系統及相關使用者行為的資訊,並且可以自動分析,處理,展示(包括文字或著錄像)
通過環境變數命令及syslog服務進行全部日誌審計(資訊太大,不推薦)說明:所謂sudo命令日誌審計,並不記錄普通使用者的普通操作,而是記錄,那些執行sudo命令的使用者的操作。sudo配合syslog服務,進行日誌審計(資訊較少,效果不錯)
在bash直譯器程式裡嵌入乙個監視器,讓所有被審計的系統使用者使用修改過的增加了監視器的特殊bash程式作為解釋程式。
齊治的堡壘機:商業產品
1 [root@s-28 /]# rpm -qa|grep sudo #要是沒安裝執行yum install sudo -y2 sudo-1.8.19p2-13
.el7.x86_64
3 [root@s-28 /]# rpm -qa|grep rsyslog #要是沒安裝執行yum install rsyslog -y
4 rsyslog-8.24.0-16
.el7.x86_64
5 [root@s-28 /]#
2.1配置系統日誌/etc/rsyslog.conf,增加配置local.debug到/etc/rsyslog.conf中
1 [root@s-28 /]# cat /var/log/ #檢視日誌檔案是否存在沒有就建立mkdir -p /var/log2 cat: /var/log/: is a directory
3 [root@s-28 /]# cat /etc/redhat-release
4 centos linux release 7.5.1804
(core)
5 [root@s-28 /]# uname -r
63.10.0-862
.el7.x86_64
7 [root@s-28 /]# tail -1 /etc/rsyslog.conf #沒有就執行echo "
local.debug /var/log/sudo.log
">>/etc/rsyslog.conf
8 local.debug /var/log/sudo.log
9 [root@s-28 /]#
2.2配置/etc/sudoers,增加配置 「defaults logfile=/var/log/sudo.log」 到/etc/sudoers中,注意:不包含引號。
1 [root@s-28 /]# echo "defaults logfile=/var/log/sudo.log
">>/etc/sudoers
2 [root@s-28 /]# tail -1 /etc/sudoers
3 defaults logfile=/var/log/sudo.log
4 [root@s-28 /]# visudo -c
5 /etc/sudoers: parsed ok
6 [root@s-28 /]#
1 [root@s-28 /]# systemctl restart rsyslog2 [root@s-28 /]#
centos 7上編寫自定義系統審計規則
日誌審計系統 事件日誌審計 syslog審計
日誌審計系統 事件日誌審計 syslog審計 任何it機構中的windows機器每天都會生成巨量日誌資料。這些日誌包含可幫助您的有用資訊 獲取位於各個windows事件日誌嚴重性級別的所有網路活動的概述。識別網路異常和潛在的安全漏洞。識別多次登入失敗 嘗試訪問未經授權的站點或檔案等等事件。跟蹤任何事...
Linux簡單的日誌審計
生產環境日誌審計解決方案 所謂的日誌審計,就是記錄所有系統及相關的使用者行為,並且可以自動分析 處理 展示 包括文字或者錄影 1 通過環境變數以及rsyslog服務進行全部日誌審計 資訊太大,不推薦 2 sudo配置rsyslog服務,進行日誌審計 資訊較少,效果不錯 3 在bash直譯器中嵌入乙個...
mysql審計日誌檔案 MySQL審計日誌處理指令碼
1 mysql配置檔案 cat mysql.cfg 3306 ip x.user root pass xx port 3306 auditlog home mysql data mysql audit.json socket tmp mysql.sock 2 函式檔案,主要是日誌函式 mysql t...