工作中我们常常遇到,有的员工不安于被分配的权限,老是想sudo echo "ziji" /usr/bin/visudo NOPASSWD:ALL来进行提权,造成误删了数据库某条重要的数据,或者执行了一条命令对线上生产造成了严重的影响,部门老大又苦于找不到造成这种现象的操作者,CTO对你们部门直接扣除绩效,这样你们集体成了背锅侠。。。为了记录员工做的违规操作行为,所以就有了以下的方案。
我们今天要学习的是:sudo日志审计,专门对使用sudo命令的系统用户记录其执行的命令相关信息。
说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录,那些执行sudo命令的用户的操作。
1、安装sudo命令,rsyslog服务
2、配置/etc/sudoers
增加配置 “Defaults logfile=/var/log/sudo.log” 到/etc/sudoers中,注意:不包含引号。
3、配置系统日志/etc/rsyslog.conf
增加配置local.debug到/etc/rsyslog.conf中
4、重启syslog内核日志记录器
[root@lrz ~]# /etc/init.d/rsyslog restart Shutting down system logger: [ OK ] Starting system logger: [ OK ]
此时,会自动建立一个/var/log/sudo.log文件(日志中配置的名字)并且文件权限为600,所有者和组均为root(如果看不到日志文件,就退出重新登录看看)。
[root@king ~]# ls -l /var/log/sudo.log -rw-------. 1 root root 0 Dec 3 14:50 /var/log/sudo.log
5、测试sudo 日志审计结果
根据前文讲解的建立用户oldboy拥有sudo 权限,同时使用root用户登录查看/var/log/sudo.log
[xiaorui@lrz ~]$ sudo useradd zzy [sudo] password for xiaorui: [xiaorui@lrz ~]$ sudo userdel zzy [xiaorui@lrz ~]$ cd /home [xiaorui@lrz home]$ ls xiaorui zzy [xiaorui@lrz home]$ sudo userdel -r zzy userdel: user 'zzy' does not exist [xiaorui@lrz home]$ rm -rf zzy/ rm: 无法删除"zzy": 权限不够 [xiaorui@lrz home]$ sudo rm -rf zzy/ [xiaorui@lrz home]$ ls xiaorui
查看日志统计结果:
[root@lrz ~]# tail -20 /var/log/sudo.log
Dec 3 14:53:03 : xiaorui : TTY=pts/0 ; PWD=/home/xiaorui ; USER=root ;
COMMAND=/usr/sbin/useradd zzy
Dec 3 14:53:14 : xiaorui : TTY=pts/0 ; PWD=/home/xiaorui ; USER=root ;
COMMAND=/usr/sbin/userdel zzy
Dec 3 14:53:36 : xiaorui : TTY=pts/0 ; PWD=/home ; USER=root ;
COMMAND=/usr/sbin/userdel -r zzy
Dec 3 14:53:53 : xiaorui : TTY=pts/0 ; PWD=/home ; USER=root ; COMMAND=/bin/rm
-rf zzy/
Dec 3 14:54:03 : xiaorui : TTY=pts/0 ; PWD=/home ; USER=root ; COMMAND=/bin/su
-
生产环境日志审计解决方案:
所谓日志审计,就是记录所有系统及相关用户行为的信息,并且可以自动分析,处理,展示(包括文本或着录像)
方法1:通过环境变量命令及syslog服务进行全部日志审计(信息太大,不推荐)
方法2:sudo配合syslog服务,进行日志审计(信息较少,效果不错)
方法3:在bash解释器程序里嵌入一个监视器,让所有被审计的系统用户使用修改过的增加了监视器的特殊bash程序作为解释程序。
方法4:齐治的堡垒机:商业产品
日志集中管理(了解):
1、rsync+inotify或定时任务+rsync,推到日志管理服务器上,10.0.0.7_20151203.sudo.log
2、rsyslog服务来处理
[root@lrz ~]# echo "10.0.2.164 logserver">>/etc/hosts [root@lrz ~]# echo "*.info @logserver">>/etc/rsyslog.conf
3、日志收集解决工具:scribe,flume,stom,logstashLInux