Linux 用户行为日志记录

工作中我们常常遇到，有的员工不安于被分配的权限，老是想sudo echo "ziji" /usr/bin/visudo NOPASSWD:ALL来进行提权，造成误删了数据库某条重要的数据，或者执行了一条命令对线上生产造成了严重的影响，部门老大又苦于找不到造成这种现象的操作者，CTO对你们部门直接扣除绩效，这样你们集体成了背锅侠。。。为了记录员工做的违规操作行为，所以就有了以下的方案。
我们今天要学习的是：sudo日志审计，专门对使用sudo命令的系统用户记录其执行的命令相关信息。

说明：所谓sudo命令日志审计，并不记录普通用户的普通操作，而是记录，那些执行sudo命令的用户的操作。

１、安装sudo命令，rsyslog服务

２、配置/etc/sudoers
增加配置　“Defaults        logfile=/var/log/sudo.log” 到/etc/sudoers中，注意：不包含引号。

３、配置系统日志/etc/rsyslog.conf
增加配置local.debug到/etc/rsyslog.conf中

４、重启syslog内核日志记录器

[root@lrz ~]# /etc/init.d/rsyslog  restart
Shutting down system logger:                               [  OK  ]
Starting system logger:                                    [  OK  ]　

此时，会自动建立一个/var/log/sudo.log文件（日志中配置的名字）并且文件权限为600，所有者和组均为root(如果看不到日志文件，就退出重新登录看看)。

[root@king ~]# ls -l /var/log/sudo.log
-rw-------. 1 root root 0 Dec  3 14:50 /var/log/sudo.log

５、测试sudo 日志审计结果
 根据前文讲解的建立用户oldboy拥有sudo 权限，同时使用root用户登录查看/var/log/sudo.log

[xiaorui@lrz ~]$ sudo useradd zzy
[sudo] password for xiaorui:
[xiaorui@lrz ~]$ sudo userdel zzy
[xiaorui@lrz ~]$ cd /home
[xiaorui@lrz home]$ ls
xiaorui  zzy
[xiaorui@lrz home]$ sudo userdel -r zzy
userdel: user 'zzy' does not exist
[xiaorui@lrz home]$ rm -rf zzy/
rm: 无法删除"zzy": 权限不够
[xiaorui@lrz home]$ sudo rm -rf zzy/
[xiaorui@lrz home]$ ls
xiaorui

查看日志统计结果：

[root@lrz ~]# tail -20 /var/log/sudo.log
Dec  3 14:53:03 : xiaorui : TTY=pts/0 ; PWD=/home/xiaorui ; USER=root ;
    COMMAND=/usr/sbin/useradd zzy
Dec  3 14:53:14 : xiaorui : TTY=pts/0 ; PWD=/home/xiaorui ; USER=root ;
    COMMAND=/usr/sbin/userdel zzy
Dec  3 14:53:36 : xiaorui : TTY=pts/0 ; PWD=/home ; USER=root ;
    COMMAND=/usr/sbin/userdel -r zzy
Dec  3 14:53:53 : xiaorui : TTY=pts/0 ; PWD=/home ; USER=root ; COMMAND=/bin/rm
    -rf zzy/
Dec  3 14:54:03 : xiaorui : TTY=pts/0 ; PWD=/home ; USER=root ; COMMAND=/bin/su
    -

生产环境日志审计解决方案：
　　所谓日志审计，就是记录所有系统及相关用户行为的信息，并且可以自动分析，处理，展示（包括文本或着录像）
　　方法１：通过环境变量命令及syslog服务进行全部日志审计（信息太大，不推荐）
　　方法２：sudo配合syslog服务，进行日志审计（信息较少，效果不错）
　　方法３：在bash解释器程序里嵌入一个监视器，让所有被审计的系统用户使用修改过的增加了监视器的特殊bash程序作为解释程序。
　　方法４：齐治的堡垒机：商业产品

日志集中管理（了解）：
　　１、rsync+inotify或定时任务＋rsync,推到日志管理服务器上，10.0.0.7_20151203.sudo.log
　　２、rsyslog服务来处理

[root@lrz ~]# echo "10.0.2.164  logserver">>/etc/hosts
[root@lrz ~]# echo "*.info   @logserver">>/etc/rsyslog.conf

　　３、日志收集解决工具:scribe,flume,stom,logstashLInux