第二十一天-linux用户行为日志审计方案

今日笔记：
我们今天要学习的是：sudo日志审计，专门对使用sudo命令的系统用户记录其执行的命令相关信息。

说明：所谓sudo命令日志审计，并不记录普通用户的普通操作，而是记录，那些执行sudo命令的用户的操作。

１、安装sudo命令，syslog服务（centos6.4为rsyslog服务）

[xiaorui@lrz ~]$ rpm -qa|egrep "sudo|syslog"
rsyslog-5.8.10-8.el6.x86_64
sudo-1.8.6p3-12.el6.x86_64

如果没有安装则执行下面的命令安装：

[xiaorui@lrz ~]$ yum install sudo rsyslog -y

２、配置/etc/sudoers
　　增加配置　“Defaults        logfile=/var/log/sudo.log” 到/etc/sudoers中，注意：不包含引号。

[root@lrz ~]# echo "Defaults     logfile=/var/log/sudo.log">>/etc/sudoers
[root@lrz ~]# tail -1 /etc/sudoers
Defaults     logfile=/var/log/sudo.log
[root@lrz ~]# visudo -c        #-->检查sudoers文件语法
/etc/sudoers: parsed OK

提示：下面的３、４可以不执行，直接切换到普通操作，然后查看/var/log/sudo.log有无操作。
３、配置系统日志/etc/rsyslog.conf
　　增加配置local2.debug到/etc/rsyslog.conf中

[root@lrz ~]# echo "local2.debug    /var/log/sudo.log">>/etc/rsyslog.conf
[root@lrz ~]# tail -1 /etc/rsyslog.conf
local2.debug    /var/log/sudo.log

４、重启syslog内核日志记录器

[root@lrz ~]# /etc/init.d/rsyslog  restart
Shutting down system logger:                               [  OK  ]
Starting system logger:                                    [  OK  ]　

　　此时，会自动建立一个/var/log/sudo.log文件（日志中配置的名字）并且文件权限为600，所有者和组均为root(如果看不到日志文件，就退出重新登录看看)。

[root@lrz ~]# ls -l /var/log/sudo.log
-rw-------. 1 root root 0 Dec  3 14:50 /var/log/sudo.log

５、测试sudo 日志审计结果
    根据前文讲解的建立用户oldboy拥有sudo 权限，同时使用root用户登录查看/var/log/sudo.log

[xiaorui@lrz ~]$ sudo useradd zzy
[sudo] password for xiaorui:
[xiaorui@lrz ~]$ sudo userdel zzy
[xiaorui@lrz ~]$ cd /home
[xiaorui@lrz home]$ ls
xiaorui  zzy
[xiaorui@lrz home]$ sudo userdel -r zzy
userdel: user 'zzy' does not exist
[xiaorui@lrz home]$ rm -rf zzy/
rm: 无法删除"zzy": 权限不够
[xiaorui@lrz home]$ sudo rm -rf zzy/
[xiaorui@lrz home]$ ls
xiaorui

　　查看日志统计结果：

[root@lrz ~]# tail -20 /var/log/sudo.log
Dec  3 14:53:03 : xiaorui : TTY=pts/0 ; PWD=/home/xiaorui ; USER=root ;
    COMMAND=/usr/sbin/useradd zzy
Dec  3 14:53:14 : xiaorui : TTY=pts/0 ; PWD=/home/xiaorui ; USER=root ;
    COMMAND=/usr/sbin/userdel zzy
Dec  3 14:53:36 : xiaorui : TTY=pts/0 ; PWD=/home ; USER=root ;
    COMMAND=/usr/sbin/userdel -r zzy
Dec  3 14:53:53 : xiaorui : TTY=pts/0 ; PWD=/home ; USER=root ; COMMAND=/bin/rm
    -rf zzy/
Dec  3 14:54:03 : xiaorui : TTY=pts/0 ; PWD=/home ; USER=root ; COMMAND=/bin/su
    -

生产环境日志审计解决方案：
　　所谓日志审计，就是记录所有系统及相关用户行为的信息，并且可以自动分析，处理，展示（包括文本或着录像）
　　方法１：通过环境变量命令及syslog服务进行全部日志审计（信息太大，不推荐）
　　方法２：sudo配合syslog服务，进行日志审计（信息较少，效果不错）
　　方法３：在bash解释器程序里嵌入一个监视器，让所有被审计的系统用户使用修改过的增加了监视器的特殊bash程序作为解释程序。
　　方法４：齐治的堡垒机：商业产品

日志集中管理（了解）：
　　１、rsync+inotify或定时任务＋rsync,推到日志管理服务器上，10.0.0.7_20151203.sudo.log
　　２、rsyslog服务来处理

[root@lrz ~]# echo "10.0.2.164  logserver">>/etc/hosts
[root@lrz ~]# echo "*.info   @logserver">>/etc/rsyslog.conf

　　３、日志收集解决方案:scribe,flume,stom,logstash