千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 网络安全 >

sudo+syslog日志审计+登陆用户操作统计

发表于:2025-12-01 作者:千家信息网编辑
千家信息网最后更新 2025年12月01日,1、查询系统是否已安装sudo、syslog程序[root@shangke ~]# rpm -qa|egrep "sudo|syslog"rsyslog-5.8.10-10.el6_6.x86_64s
千家信息网最后更新 2025年12月01日sudo+syslog日志审计+登陆用户操作统计

1、查询系统是否已安装sudo、syslog程序

[root@shangke ~]# rpm -qa|egrep "sudo|syslog"rsyslog-5.8.10-10.el6_6.x86_64sudo-1.8.6p3-19.el6.x86_64如果没有安装,则用yum安装,yum install -y sudo syslog


2、配置/etc/sudoers

增加配置"Defaults logfile=/var/log/sudo.log"到/etc/sudoers中

[root@shangke ~]# echo "Defaults logfile=/var/log/sudo.log" >>/etc/sudoers[root@shangke ~]# tail -1 /etc/sudoers  ##检查操作是否成功Defaults logfile=/var/log/sudo.log[root@shangke ~]# visudo -c     ##检查sudoers文件语法/etc/sudoers: parsed OK


3、配置系统日志

增加配置local2.debug到/etc/syslog.conf中(Centos5.8中)

增加配置local2.debug到/etc/rsyslog.conf中(Centos6.4中)

[root@shangke ~]# echo "local2.debug /var/log/sudo.log" >>/etc/rsyslog.conf[root@shangke ~]# tail -1 /etc/rsyslog.conf   ##检查配置local2.debug /var/log/sudo.log


4、重启syslog或rsyslog内核日志记录器

[root@shangke ~]# /etc/init.d/rsyslog restart  Shutting down system logger:                               [  OK  ]Starting system logger:                                        [  OK  ]


5、查看日志目录的权限

[root@shangke ~]# ll /var/log/sudo.log -rw------- 1 root root 1148 Jan 31 16:05 /var/log/sudo.log


6、测试sudo日志审计配置结果

[root@shangke ~]# whoamiroot[root@shangke ~]# pwd/root[root@shangke ~]# useradd mzq[root@shangke ~]# vi /etc/sudoersmzq   ALL=(ALL)    ALL[root@shangke ~]# su - mzq[mzq@shangke ~]$ sudo -lMatching Defaults entries for mzq on this host:    requiretty, !visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE    INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY    LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET    XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin, logfile=/var/log/sudo.logUser mzq may run the following commands on this host:    (ALL) NOPASSWD: /bin/su, (ALL) /usr/bin/sudo, (ALL) ALL[mzq@shangke ~]$ su - Password: [root@shangke ~]# cat /var/log/sudo.log Jan 31 16:05:27 : mzq : TTY=pts/0 ; PWD=/home/mzq ; USER=root ; COMMAND=/bin/cat    /var/log/sudo.logJan 31 16:24:11 : mzq : TTY=pts/0 ; PWD=/home/mzq ; USER=root ; COMMAND=listJan 31 16:25:09 : mzq : TTY=pts/0 ; PWD=/home/mzq ; USER=root ; COMMAND=/bin/cat    /var/log/sudo.log


7、记录登录用户的数据
/var/log/useraudit.log文件记录登录用户的时间,来源IP,以及在系统中运行了什么命令。

[root@shangke ~]# vim /etc/profile在最后添加下面内容:export HISTORY_FILE=/var/log/useraudit.logexport PROMPT_COMMAND='{ h=`history 1`;w=`who am i`;echo -e $(date "+%Y-%m-%d %H:%M:%S") --- $w ---$h;} >> $HISTORY_FILE'然后执行命令:[root@shangke ~]# touch /var/log/useraudit.log[root@shangke ~]# chmod 777 /var/log/useraudit.log[root@shangke ~]# chattr +a /var/log/useraudit.log[root@shangke ~]# cat /var/log/useraudit.log 2016-01-31 16:30:16 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 15 su -2016-01-31 16:30:18 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 16 ls2016-01-31 16:30:22 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 17 sudo ls2016-01-31 16:30:34 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 18 cat /var/log/sudo.log2016-01-31 16:30:46 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 19 sudo cat /var/log/so2016-01-31 16:30:50 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 20 sudo cat /var/log/sudo.log2016-01-31 16:31:09 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 21 rm -f oldboy12016-01-31 16:31:12 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 22 sudo cat /var/log/sudo.log2016-01-31 16:32:04 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 23 sodu cat /var/log/useraudit.log2016-01-31 16:32:41 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 24 cd /var/log/2016-01-31 16:32:43 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 25 ls2016-01-31 16:33:05 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 25 ls2016-01-31 16:33:08 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 26 cd2016-01-31 16:33:10 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 27 ls2016-01-31 16:33:18 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 28 rm -f oldboy22016-01-31 16:33:23 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 141 su - mzq2016-01-31 16:33:40 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 142 cat /var/log/sudo.log2016-01-31 16:33:54 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 143 cat /var/log/sudo.log|grep rm2016-01-31 16:34:01 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 144 cat /var/log/sudo.log|grep rm -f2016-01-31 16:34:10 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 145 cat /var/log/sudo.log|grep "rm -f"


8、日志集中管理

1)rsync+inotify或定时任务+rsync,推到日志管理服务器上,IP_date.sudo.log

2)syslog服务来处理

[root@shangke ~]#echo "IP logserver">>/etc/hosts#日志服务器地址[root@shangke ~]#echo "*.info  @logserver">>/etc/syslog.conf<<====适合所有日志推走


3)日志收集解决方案scribe、Flume、logstash、stom

很赞哦!
日志 配置 系统 服务 检查 用户 命令 文件 服务器 登录 管理 审计 成功 任务 内容 内核 地址 数据 方案 时间 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 中国2017年软件开发数据 空间数据库的数学基础是什么 路由器ssr服务器 安徽服务器机柜厂家电话 医保局网络安全工作总结 肇庆酒店软件开发公司 ui设计和互联网软件开发哪个好 单片机软件开发方向 西安雁塔区软件开发 亚马逊是服务器吗 网络技术发达英语作文 租用美国云服务器 网络安全小知识视频 智能软件开发用途 数据库主从能放一台服务器吗 中国网络安全技术大赛 深度学习服务器配套环境 软件开发故障报告 app软件开发吕飞 数据库安全评估系统有哪些 医药公司网络安全事件 服务器管理用哪个app 石家庄网络安全科技馆 mysql是默认的数据库吗 小学网络安全校本教材 网络安全预测2022 常州个人软件开发 创造与魔法能不能换服务器 威刚16g 2400服务器内存 灰色互联网科技

相关文章

0