zoukankan      html  css  js  c++  java
  • sudo日志审计

      一般企业生产环境都会用跳板机把操作日志记录下来,不过有些公司内部的测试机可以用本机的sudo日志审计功能将执行的sudo命令保存日志。

      为什么要使用sudo审计,因为可以通过sudo授权给普通用户执行管理员权限的命令,管理员权限的命令可能会破坏系统,普通用户甚至可以通过root授权的sudo权限提权,我们要监控这些用户使用sudo的操作记录。

      (普通用户环境下,使用sudo -l查看自己的sudo权限。)

      1、安装环境

      确保服务器安装的有rsyslog服务,并且配置的有开机自启动。

      相关命令:yum install -y rsyslog

             rpm -qa | grep rsyslog

            systemctl enable rsyslog.service

      2、配置/etc/sudoers

      使用visudo命令配置/etc/sudoers文件,尾部追加一行:

      Defaults logfile=/var/log/sudo.log

      (必须使用visudo命令编辑,这个命令会检测你的语法,会提示你配置信息是否有错误,甚至你的命令别名、用户别名没有使用都会发出提醒)

      3、编辑日志配置文件/etc/rsyslog.conf  (可以不配置)

      在/etc/rsyslog.conf中添加一行

      local2.debug    /var/log/sudo.log

    (为什么是local2.debug???看老男孩视频,他上面就是这么写的,你可以改成别的,也可以不配置)

      4、重启日志服务

      systemctl restart rsyslog.service

      5、测试

      切换到其他用户,使用sudo命令,测试命令内容是否记录在/var/log/sudo.log中。

      

      可以看出,不管是普通用户还是root用户,只要执行sudo命令,都会记录在/var/log/sudo.log日志文件中。

  • 相关阅读:
    微信小程序知识点梳理
    Vue基础知识梳理
    JQuery总结
    JS实现简单斗地主效果
    JS应用猜数游戏
    JS创建一个数组1.求和 2.求平均值 3.最大值 4.最小值 5.数组逆序 6.数组去重 0.退出
    JS数组的基本操作方法
    JS,ATM代码
    简单理解Vue中的nextTick
    Vue keep-alive实践总结
  • 原文地址:https://www.cnblogs.com/zhanbing/p/10276567.html
Copyright © 2011-2022 走看看