zoukankan      html  css  js  c++  java
  • sudo日志审计

      一般企业生产环境都会用跳板机把操作日志记录下来,不过有些公司内部的测试机可以用本机的sudo日志审计功能将执行的sudo命令保存日志。

      为什么要使用sudo审计,因为可以通过sudo授权给普通用户执行管理员权限的命令,管理员权限的命令可能会破坏系统,普通用户甚至可以通过root授权的sudo权限提权,我们要监控这些用户使用sudo的操作记录。

      (普通用户环境下,使用sudo -l查看自己的sudo权限。)

      1、安装环境

      确保服务器安装的有rsyslog服务,并且配置的有开机自启动。

      相关命令:yum install -y rsyslog

             rpm -qa | grep rsyslog

            systemctl enable rsyslog.service

      2、配置/etc/sudoers

      使用visudo命令配置/etc/sudoers文件,尾部追加一行:

      Defaults logfile=/var/log/sudo.log

      (必须使用visudo命令编辑,这个命令会检测你的语法,会提示你配置信息是否有错误,甚至你的命令别名、用户别名没有使用都会发出提醒)

      3、编辑日志配置文件/etc/rsyslog.conf  (可以不配置)

      在/etc/rsyslog.conf中添加一行

      local2.debug    /var/log/sudo.log

    (为什么是local2.debug???看老男孩视频,他上面就是这么写的,你可以改成别的,也可以不配置)

      4、重启日志服务

      systemctl restart rsyslog.service

      5、测试

      切换到其他用户,使用sudo命令,测试命令内容是否记录在/var/log/sudo.log中。

      

      可以看出,不管是普通用户还是root用户,只要执行sudo命令,都会记录在/var/log/sudo.log日志文件中。

  • 相关阅读:
    zyb的面试
    Codeforces Round #514 (Div. 2)
    Maximum GCD(fgets读入)
    Harmonic Number(调和级数+欧拉常数)
    Codeforces Round #516 (Div. 2, by Moscow Team Olympiad)
    Sigma Function (平方数与平方数*2的约数和是奇数)
    Leading and Trailing (数论)
    【贪心】【CF3D】 Least Cost Bracket Sequence
    【套题】qbxt国庆刷题班D1
    【极值问题】【CF1063B】 Labyrinth
  • 原文地址:https://www.cnblogs.com/zhanbing/p/10276567.html
Copyright © 2011-2022 走看看