由于企业内部权限管理启用了sudo权限管理,但是还是有一定的风险因素,毕竟运维、开发等各个人员技术水平、操作习惯都不相同,也会因一时失误造成误操作,从而影响系统运行。因此,征对sudo提权的操作,便于管理与后续维护,开启sudo日志审计功能对用户执行 sudo命令的操作行为,但又不记录其它命令的操作行为
一:生产环境中日志审计方案如下:
1、syslog全部操作日志审计,此种方法信息量大,不便查看
2、sudo日志配合syslog服务进行日志审计
3、堡垒机日志审计
4、bash安装监视器,记录用户使用操作
二:配置sudo日志审计
1、检测是否安装服务
[root@centos ~]# rpm -aq sudo rsyslog
rsyslog-5.8.10-8.el6.x86_64
sudo-1.8.6p3-12.el6.x86_64
You have new mail in /var/spool/mail/root
2、配置服务
[root@centos ~]# echo "Defaults logfile=/var/log/sudo.log">>/etc/sudoers
3、测试sudo日志审计
建立用户拥有sudo的权限,同时使用root用户登录查看日志/var/log/sudo.log
[oldboy@centos ~]$ sudo useradd ceshi
[sudo] password for oldboy:
oldboy 不在 sudoers 文件中。此事将被报告。
[root@centos ~]# tail -1 /var/log/sudo.log
PWD=/home/oldboy ; USER=root ; COMMAND=/usr/sbin/useradd ceshi#记录操作
