淘先锋技术网

首页 1 2 3 4 5 6 7

由于企业内部权限管理启用了sudo权限管理,但是还是有一定的风险因素,毕竟运维、开发等各个人员技术水平、操作习惯都不相同,也会因一时失误造成误操作,从而影响系统运行。因此,征对sudo提权的操作,便于管理与后续维护,开启sudo日志审计功能对用户执行 sudo命令的操作行为,但又不记录其它命令的操作行为

 

一:生产环境中日志审计方案如下:

1syslog全部操作日志审计,此种方法信息量大,不便查看

2sudo日志配合syslog服务进行日志审计

3、堡垒机日志审计

4bash安装监视器,记录用户使用操作

 

二:配置sudo日志审计

1、检测是否安装服务

[root@centos ~]# rpm -aq sudo rsyslog

rsyslog-5.8.10-8.el6.x86_64

sudo-1.8.6p3-12.el6.x86_64

You have new mail in /var/spool/mail/root



 

2、配置服务

 [root@centos ~]# echo "Defaults    logfile=/var/log/sudo.log">>/etc/sudoers



3、测试sudo日志审计

建立用户拥有sudo的权限,同时使用root用户登录查看日志/var/log/sudo.log

[oldboy@centos ~]$ sudo useradd ceshi

[sudo] password for oldboy:

oldboy 不在 sudoers 文件中。此事将被报告。

[root@centos ~]# tail -1  /var/log/sudo.log

    PWD=/home/oldboy ; USER=root ; COMMAND=/usr/sbin/useradd ceshi#记录操作