千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 网络安全 >

sudo+syslog日志审计+登陆用户操作统计

发表于:2025-02-23 作者:千家信息网编辑
千家信息网最后更新 2025年02月23日,1、查询系统是否已安装sudo、syslog程序[root@shangke ~]# rpm -qa|egrep "sudo|syslog"rsyslog-5.8.10-10.el6_6.x86_64s
千家信息网最后更新 2025年02月23日sudo+syslog日志审计+登陆用户操作统计

1、查询系统是否已安装sudo、syslog程序

[root@shangke ~]# rpm -qa|egrep "sudo|syslog"rsyslog-5.8.10-10.el6_6.x86_64sudo-1.8.6p3-19.el6.x86_64如果没有安装,则用yum安装,yum install -y sudo syslog


2、配置/etc/sudoers

增加配置"Defaults logfile=/var/log/sudo.log"到/etc/sudoers中

[root@shangke ~]# echo "Defaults logfile=/var/log/sudo.log" >>/etc/sudoers[root@shangke ~]# tail -1 /etc/sudoers  ##检查操作是否成功Defaults logfile=/var/log/sudo.log[root@shangke ~]# visudo -c     ##检查sudoers文件语法/etc/sudoers: parsed OK


3、配置系统日志

增加配置local2.debug到/etc/syslog.conf中(Centos5.8中)

增加配置local2.debug到/etc/rsyslog.conf中(Centos6.4中)

[root@shangke ~]# echo "local2.debug /var/log/sudo.log" >>/etc/rsyslog.conf[root@shangke ~]# tail -1 /etc/rsyslog.conf   ##检查配置local2.debug /var/log/sudo.log


4、重启syslog或rsyslog内核日志记录器

[root@shangke ~]# /etc/init.d/rsyslog restart  Shutting down system logger:                               [  OK  ]Starting system logger:                                        [  OK  ]


5、查看日志目录的权限

[root@shangke ~]# ll /var/log/sudo.log -rw------- 1 root root 1148 Jan 31 16:05 /var/log/sudo.log


6、测试sudo日志审计配置结果

[root@shangke ~]# whoamiroot[root@shangke ~]# pwd/root[root@shangke ~]# useradd mzq[root@shangke ~]# vi /etc/sudoersmzq   ALL=(ALL)    ALL[root@shangke ~]# su - mzq[mzq@shangke ~]$ sudo -lMatching Defaults entries for mzq on this host:    requiretty, !visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE    INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY    LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET    XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin, logfile=/var/log/sudo.logUser mzq may run the following commands on this host:    (ALL) NOPASSWD: /bin/su, (ALL) /usr/bin/sudo, (ALL) ALL[mzq@shangke ~]$ su - Password: [root@shangke ~]# cat /var/log/sudo.log Jan 31 16:05:27 : mzq : TTY=pts/0 ; PWD=/home/mzq ; USER=root ; COMMAND=/bin/cat    /var/log/sudo.logJan 31 16:24:11 : mzq : TTY=pts/0 ; PWD=/home/mzq ; USER=root ; COMMAND=listJan 31 16:25:09 : mzq : TTY=pts/0 ; PWD=/home/mzq ; USER=root ; COMMAND=/bin/cat    /var/log/sudo.log


7、记录登录用户的数据
/var/log/useraudit.log文件记录登录用户的时间,来源IP,以及在系统中运行了什么命令。

[root@shangke ~]# vim /etc/profile在最后添加下面内容:export HISTORY_FILE=/var/log/useraudit.logexport PROMPT_COMMAND='{ h=`history 1`;w=`who am i`;echo -e $(date "+%Y-%m-%d %H:%M:%S") --- $w ---$h;} >> $HISTORY_FILE'然后执行命令:[root@shangke ~]# touch /var/log/useraudit.log[root@shangke ~]# chmod 777 /var/log/useraudit.log[root@shangke ~]# chattr +a /var/log/useraudit.log[root@shangke ~]# cat /var/log/useraudit.log 2016-01-31 16:30:16 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 15 su -2016-01-31 16:30:18 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 16 ls2016-01-31 16:30:22 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 17 sudo ls2016-01-31 16:30:34 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 18 cat /var/log/sudo.log2016-01-31 16:30:46 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 19 sudo cat /var/log/so2016-01-31 16:30:50 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 20 sudo cat /var/log/sudo.log2016-01-31 16:31:09 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 21 rm -f oldboy12016-01-31 16:31:12 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 22 sudo cat /var/log/sudo.log2016-01-31 16:32:04 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 23 sodu cat /var/log/useraudit.log2016-01-31 16:32:41 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 24 cd /var/log/2016-01-31 16:32:43 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 25 ls2016-01-31 16:33:05 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 25 ls2016-01-31 16:33:08 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 26 cd2016-01-31 16:33:10 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 27 ls2016-01-31 16:33:18 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 28 rm -f oldboy22016-01-31 16:33:23 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 141 su - mzq2016-01-31 16:33:40 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 142 cat /var/log/sudo.log2016-01-31 16:33:54 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 143 cat /var/log/sudo.log|grep rm2016-01-31 16:34:01 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 144 cat /var/log/sudo.log|grep rm -f2016-01-31 16:34:10 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 145 cat /var/log/sudo.log|grep "rm -f"


8、日志集中管理

1)rsync+inotify或定时任务+rsync,推到日志管理服务器上,IP_date.sudo.log

2)syslog服务来处理

[root@shangke ~]#echo "IP logserver">>/etc/hosts#日志服务器地址[root@shangke ~]#echo "*.info  @logserver">>/etc/syslog.conf<<====适合所有日志推走


3)日志收集解决方案scribe、Flume、logstash、stom

很赞哦!
日志 配置 系统 服务 检查 用户 命令 文件 服务器 登录 管理 审计 成功 任务 内容 内核 地址 数据 方案 时间 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 电信网络安全屏障 聊天app的服务器连接在哪 全国计算机网络技术视频教程 啥叫软件开发任务书 网络安全督导实施方案 AI听写提升服务器连接失败 mysql数据库的地址 襄垣网络安全防线 中控考勤机数据库恢复 数据库备份软件价格 智慧护理系统数据库 主从数据库mssql 京东云数据库研发团队 如皋市志雷网络技术工作室 网络安全的推送 锦江区猫头鹰软件开发工作室 斗地主数据库设计 中央网络安全有关精神 网络安全法是第几部基础法律 庆余年官服服务器 zabbix监控服务器的思路 工程廉洁风险数据库 厦门零洋网络技术公司判决 网络安全秘密 数据库中不同表数据互通 幼儿园网络安全的画画 海康网络摄像头网络安全 加密服务器设置 网络安全制度完善 服务器2.5寸硬盘位能改吗

相关文章

0