千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 网络安全 >

sudo+syslog日志审计+登陆用户操作统计

发表于:2025-01-19 作者:千家信息网编辑
千家信息网最后更新 2025年01月19日,1、查询系统是否已安装sudo、syslog程序[root@shangke ~]# rpm -qa|egrep "sudo|syslog"rsyslog-5.8.10-10.el6_6.x86_64s
千家信息网最后更新 2025年01月19日sudo+syslog日志审计+登陆用户操作统计

1、查询系统是否已安装sudo、syslog程序

[root@shangke ~]# rpm -qa|egrep "sudo|syslog"rsyslog-5.8.10-10.el6_6.x86_64sudo-1.8.6p3-19.el6.x86_64如果没有安装,则用yum安装,yum install -y sudo syslog


2、配置/etc/sudoers

增加配置"Defaults logfile=/var/log/sudo.log"到/etc/sudoers中

[root@shangke ~]# echo "Defaults logfile=/var/log/sudo.log" >>/etc/sudoers[root@shangke ~]# tail -1 /etc/sudoers  ##检查操作是否成功Defaults logfile=/var/log/sudo.log[root@shangke ~]# visudo -c     ##检查sudoers文件语法/etc/sudoers: parsed OK


3、配置系统日志

增加配置local2.debug到/etc/syslog.conf中(Centos5.8中)

增加配置local2.debug到/etc/rsyslog.conf中(Centos6.4中)

[root@shangke ~]# echo "local2.debug /var/log/sudo.log" >>/etc/rsyslog.conf[root@shangke ~]# tail -1 /etc/rsyslog.conf   ##检查配置local2.debug /var/log/sudo.log


4、重启syslog或rsyslog内核日志记录器

[root@shangke ~]# /etc/init.d/rsyslog restart  Shutting down system logger:                               [  OK  ]Starting system logger:                                        [  OK  ]


5、查看日志目录的权限

[root@shangke ~]# ll /var/log/sudo.log -rw------- 1 root root 1148 Jan 31 16:05 /var/log/sudo.log


6、测试sudo日志审计配置结果

[root@shangke ~]# whoamiroot[root@shangke ~]# pwd/root[root@shangke ~]# useradd mzq[root@shangke ~]# vi /etc/sudoersmzq   ALL=(ALL)    ALL[root@shangke ~]# su - mzq[mzq@shangke ~]$ sudo -lMatching Defaults entries for mzq on this host:    requiretty, !visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE    INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY    LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET    XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin, logfile=/var/log/sudo.logUser mzq may run the following commands on this host:    (ALL) NOPASSWD: /bin/su, (ALL) /usr/bin/sudo, (ALL) ALL[mzq@shangke ~]$ su - Password: [root@shangke ~]# cat /var/log/sudo.log Jan 31 16:05:27 : mzq : TTY=pts/0 ; PWD=/home/mzq ; USER=root ; COMMAND=/bin/cat    /var/log/sudo.logJan 31 16:24:11 : mzq : TTY=pts/0 ; PWD=/home/mzq ; USER=root ; COMMAND=listJan 31 16:25:09 : mzq : TTY=pts/0 ; PWD=/home/mzq ; USER=root ; COMMAND=/bin/cat    /var/log/sudo.log


7、记录登录用户的数据
/var/log/useraudit.log文件记录登录用户的时间,来源IP,以及在系统中运行了什么命令。

[root@shangke ~]# vim /etc/profile在最后添加下面内容:export HISTORY_FILE=/var/log/useraudit.logexport PROMPT_COMMAND='{ h=`history 1`;w=`who am i`;echo -e $(date "+%Y-%m-%d %H:%M:%S") --- $w ---$h;} >> $HISTORY_FILE'然后执行命令:[root@shangke ~]# touch /var/log/useraudit.log[root@shangke ~]# chmod 777 /var/log/useraudit.log[root@shangke ~]# chattr +a /var/log/useraudit.log[root@shangke ~]# cat /var/log/useraudit.log 2016-01-31 16:30:16 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 15 su -2016-01-31 16:30:18 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 16 ls2016-01-31 16:30:22 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 17 sudo ls2016-01-31 16:30:34 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 18 cat /var/log/sudo.log2016-01-31 16:30:46 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 19 sudo cat /var/log/so2016-01-31 16:30:50 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 20 sudo cat /var/log/sudo.log2016-01-31 16:31:09 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 21 rm -f oldboy12016-01-31 16:31:12 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 22 sudo cat /var/log/sudo.log2016-01-31 16:32:04 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 23 sodu cat /var/log/useraudit.log2016-01-31 16:32:41 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 24 cd /var/log/2016-01-31 16:32:43 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 25 ls2016-01-31 16:33:05 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 25 ls2016-01-31 16:33:08 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 26 cd2016-01-31 16:33:10 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 27 ls2016-01-31 16:33:18 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 28 rm -f oldboy22016-01-31 16:33:23 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 141 su - mzq2016-01-31 16:33:40 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 142 cat /var/log/sudo.log2016-01-31 16:33:54 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 143 cat /var/log/sudo.log|grep rm2016-01-31 16:34:01 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 144 cat /var/log/sudo.log|grep rm -f2016-01-31 16:34:10 --- root pts/0 2016-01-31 16:21 (10.0.0.1) --- 145 cat /var/log/sudo.log|grep "rm -f"


8、日志集中管理

1)rsync+inotify或定时任务+rsync,推到日志管理服务器上,IP_date.sudo.log

2)syslog服务来处理

[root@shangke ~]#echo "IP logserver">>/etc/hosts#日志服务器地址[root@shangke ~]#echo "*.info  @logserver">>/etc/syslog.conf<<====适合所有日志推走


3)日志收集解决方案scribe、Flume、logstash、stom

很赞哦!
日志 配置 系统 服务 检查 用户 命令 文件 服务器 登录 管理 审计 成功 任务 内容 内核 地址 数据 方案 时间 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 互联网与信息科技 服务器网卡有新的吗 开淘宝店用到的网络技术 三面隔离 网络安全 jdbc连接数据库的异常 软件开发项目小组提成 校园网络安全法人责任制度 上海招聘java软件开发 战场里面不同服务器可以交易吗 数据库项目报告心得 被sci收录的数据库网站 广西会计软件开发中心 我的世界服务器建城市 迷你世界重要的服务器 上海现代软件开发产业 数据库课程设计报告怎么 南阳网络技术怎么样 哪个网络安全培训机构好 cs没网可以添加服务器吗 深圳什么网络技术开发经验丰富 贫困生补助数据库创建 pubg吃鸡手游无法连接服务器 上海安达网络技术有限公司 说说 网络安全规范 网络安全绿色上网手抄报图片 网络技术工程师发展前景 主题数据库概念 网络安全管理和处置措施ppt 档案管理和网络安全的意义 城市轨道交通网络安全

相关文章

0