sudo日志审计,Linux简单的日志审计

2019-08-26 04:39 来源:未知

centos6 配置sudo命令日志审计

配置sudo命令日志审计

说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录那些执行sudo命令的用户的操作。

项目实战:

服务器日志审计项目提出与实施

  1. 权限方案实施后,权限得到了细化控制,接下来进一步实施以地所有用户日志记录方案。

  2. 通过sudo和syslog(rsyslog)配合实现对所有用户进行日志审计并将记录集中管理(发送到中心日志服务器)、

  3. 实施后,让所有运维和开发的所有执行的sudo管理命令都记录可查,杜绝了内部人员的操作安全隐患

生产环境日志审记解决之案:

法1:通过环境变量命令及syslog服务进行全部日志审记(信息太大,不推荐)

法2:sudo配命syslog服务,进行日志审计(信息较少,效果不错)

法3:在bash解释器程序里嵌入一个监视器,让所有被审记的系统用户使用修改过的增加了监视器的特殊bash程序作为解释程序

法4:齐治的堡垒机:商业产品

现在我们用的sudo日志审记,专门对使用sudo命令的系统用户记录其执行的命令相关信息

★centos6系统配置日审记**

  1. 1.安装sudo命令,syslog服务(centos6.4为rsyslog服务)

[[email protected]~]``#rpm-aq|egrep"sudo|rsyslog"``rsyslog``-``5.8``.``10``-``6.el6``.x86_64``sudo``-``1.8``.``6p3``-``7.el6``.x86_64

如果没有安装则执行下面的命令安装

yuminstallsudorsyslog–y

2.配置系统日志/etc/syslog.conf

Centos6系统的rsyslog.conf的配置文件路径是``/``etc``/``rsyslog.conf``[[email protected]~]``#echo"local2.debug/var/log/sudo.log">>/etc/rsyslog.conf``[[email protected]~]``#tail-1/etc/rsyslog.conf``local2.debug``/``var``/``log``/``sudo.log

3.配置/etc/sudoers

增加配置”Defaults logfile=/var/log/sudo.log”到/etc/sudoers中,注意:不包含引号

[[email protected]~]``#echo"Defaultslogfile=/var/log/sudo.log">>/etc/sudoers``[[email protected]~]``#tail-1/etc/sudoers``Defaultslogfile``=``/``var``/``log``/``sudo.log``[[email protected]~]``#visudo-c``/``etc``/``sudoers:parsedOK

4.重启syslog内核日志记录器

[[email protected]~]``#/etc/init.d/rsyslogrestart``Shuttingdownsystemlogger:[OK]``Startingsystemlogger:[OK]

5.测试sudo日志审计配置结果

用户tom拥有root ALL权限,用户bobo拥有/usr/sbin/useradd,/usr/sbin/passwd权限

[[email protected]~]$sudouseraddbobo````Wetrustyouhavereceivedtheusuallecture``from``thelocalSystem``Administrator.Itusuallyboilsdowntothesethreethings:``````#1)Respecttheprivacyofothers.````#2)Thinkbeforeyoutype.````#3)Withgreatpowercomesgreatresponsibility.``.``[sudo]password``for``tom:``[[email protected]~]$sudopasswdbobo``Changingpassword``for``userbobo.``Newpassword:``Retypenewpassword:``passwd:``all``authenticationtokensupdatedsuccessfully.````[[email protected]~]$sudouseraddqwe``[[email protected]~]$sudopasswdqwe``Changingpassword``for``userqwe.``Newpassword:``Retypenewpassword:``passwd:``all``authenticationtokensupdatedsuccessfully.``````[[email protected]~]``#cat/var/log/sudo.log``Dec``28``23``:``14``:``14``:tom:TTY``=``pts``/``0``;PWD``=``/``home``/``tom;USER``=``root;````COMMAND``=``/``usr``/``sbin``/``useraddbobo``Dec``28``23``:``14``:``21``:tom:TTY``=``pts``/``0``;PWD``=``/``home``/``tom;USER``=``root;````COMMAND``=``/``usr``/``bin``/``passwdbobo``Dec``28``23``:``23``:``18``:tom:``1``incorrectpasswordattempt;TTY``=``pts``/``0``;PWD``=``/``home``/``tom````;USER``=``root;COMMAND``=``/``usr``/``sbin``/``useraddbobo``Dec``28``23``:``23``:``21``:tom:TTY``=``pts``/``0``;PWD``=``/``home``/``tom;USER``=``root;````COMMAND``=``/``usr``/``sbin``/``useraddbobo``Dec``28``23``:``24``:``11``:mary:TTY``=``pts``/``0``;PWD``=``/``home``/``mary;USER``=``root;COMMAND``=``list``Dec``28``23``:``24``:``30``:mary:commandnotallowed;TTY``=``pts``/``0``;PWD``=``/``home``/``mary;````USER``=``root;COMMAND``=``/``usr``/``bin``/``passwd``Dec``28``23``:``24``:``40``:mary:commandnotallowed;TTY``=``pts``/``0``;PWD``=``/``home``/``mary;````USER``=``root;COMMAND``=``/``usr``/``bin``/``passwd``Dec``28``23``:``24``:``53``:mary:commandnotallowed;TTY``=``pts``/``0``;PWD``=``/``home``/``mary;````USER``=``root;COMMAND``=``/``usr``/``bin``/``passwdmary``Dec``28``23``:``25``:``35``:mary:TTY``=``pts``/``0``;PWD``=``/``home``/``mary;USER``=``root;````COMMAND``=``/``usr``/``sbin``/``useraddqwe``Dec``28``23``:``25``:``46``:mary:commandnotallowed;TTY``=``pts``/``0``;PWD``=``/``home``/``mary;````USER``=``root;COMMAND``=``/``usr``/``bin``/``passwdqwe

配置sudo命令日志审计 配置sudo命令日志审计 说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录那些执行sudo命令...

生产环境日志审计解决方案

Linux系统实战项目——sudo日志审计

       所谓的日志审计,就是记录所有系统及相关的用户行为,并且可以自动分析、处理、展示(包括文本或者录像)

 

1)     :通过环境变量以及rsyslog服务进行全部日志审计(信息太大,不推荐)

由于企业内部权限管理启用了sudo权限管理,但是还是有一定的风险因素,毕竟运维、开发等各个人员技术水平、操作习惯都不相同,也会因一时失误造成误操作,从而影响系统运行

2)     sudo配置rsyslog服务,进行日志审计(信息较少,效果不错)

 

3)     在bash解释器中嵌入一个监视器,让所有被审计的系统用户使用修改过的增加监视器的特殊bash程序作为解释程序。

因此,征对sudo提权的操作,便于管理与后续维护,开启sudo日志审计功能对用户执行 sudo命令的操作行为,但又不记录其它命令的操作行为

4)     齐治的堡垒机:商业产品

 

 

一:生产环境中日志审计方案如下:

在此文档中,我们学习第二种方法:sudo的日志审计,所谓的suod的日志审计,并不记录普通用户的操作,只记得执行sudo命令的操作

1、syslog全部操作日志审计,此种方法信息量大,不便查看

 

2、sudo日志配合syslog服务进行日志审计

1安装sudo和syslog服务

使用yum等命令在在线安装sudo和syslog服务(在centos6.4中syslog为rsyslog服务)

 

3、堡垒机日志审计

2配置/etc/sudoers

在/etc/sudoers中配置下面这一行配置

Defaults        logfile=/var/log/sudo.log

 

4、bash安装监视器,记录用户使用操作

3配置系统日志/etc/(r)syslog.conf

在/etc/syslog.conf中添加下面一行的配置文件

 

local2.debug    /var/log/sudo.log

 

 

 

4重启syslog服务

/etc/init.d/rsyslog restart

然后在/var/log/sudo.log 中就可以发现使用sudo命令的用户。

 

 吉利彩票平台注册 1

 

 

经过测试这是一个很实用的方法。

二:配置sudo日志审计

1、安装sudo与syslog服务

[root@Centos ~]# rpm -qa|grep sudo

sudo-1.8.6p3-24.el6.x86_64

[root@Centos ~]# rpm -qa|grep rsyslog

rsyslog-5.8.10-10.el6_6.x86_64

检查是否安装两种服务,如果没有安装,就使用下面的命令进行安装

yum install sudo -y

yum install rsyslog -y

备注:Centos 5.x 为syslog,Centos 6.x 为rsyslog

 

2、配置服务

创建日志保存目录

[root@Centos ~]# mkdir -p /var/log/

服务器环境查看

[root@Centos ~]# cat /etc/redhat-release 

CentOS release 6.5 (Final)

[root@Centos ~]# uname -r

2.6.32-431.el6.x86_64

 

服务器环境为centos 6.5 所以syslog日志配置文件为/etc/rsyslog.conf

[root@Centos ~]#echo "local2.debug /var/log/sudo.log">>/etc/rsyslog.conf

查看配置

[root@Centos ~]# tail -1 /etc/rsyslog.conf 

local2.debug  /var/log/sudo.log

 

如果服务器为centos 5.x 所以syslog日志配置文件为/etc/syslog.conf

 

[root@Centos ~]#echo "local2.debug /var/log/sudo.log">>/etc/syslog.conf

[root@Centos ~]#echo "Defaults logfile=/var/log/sudo.log">>/etc/sudoers

查看配置

[root@Centos ~]# tail -1 /etc/syslog.conf 

local2.debug  /var/log/sudo.log

 

3、配置/etc/sudoers

[root@Centos ~]# echo "Defaults logfile=/var/log/sudo.log">>/etc/sudoers

[root@Centos ~]# tail -1 /etc/sudoers 

Defaults logfile=/var/log/sudo.log

 

4、重启服务

[root@Centos ~]# /etc/init.d/rsyslog restart

Shutting down system logger:                               [  OK  ]

Starting system logger:                                    [  OK  ]

 

三:测试日记审计结果

[root@Centos ~]# su - cjkaifa001

[cjkaifa001@Centos ~]吉利彩票平台注册,$ pwd

/home/cjkaifa001

[cjkaifa001@Centos ~]$ touch 123.txt

[cjkaifa001@Centos ~]$ sudo ls

123.txt

[cjkaifa001@Centos ~]$ cat /var/log/sudo.log 

cat: /var/log/sudo.log: Permission denied

直接使用cat命令提示权限不足

[cjkaifa001@Centos ~]$ sudo cat /var/log/sudo.log 使用sudo提权后可查看

Sep 11 02:41:50 : cjkaifa001 : TTY=pts/1 ; PWD=/home/cjkaifa001 ; USER=root ;

    COMMAND=/bin/ls

Sep 11 02:44:57 : cjkaifa001 : TTY=pts/1 ; PWD=/home/cjkaifa001 ; USER=root ;

    COMMAND=/bin/cat /var/log/sudo.log

经过测试能正常记录用户使用sudo的操作日志记录,其它命令没有记录

 

[root@Centos ~]# rm -rf /var/log/sudo.log 

[root@Centos ~]# /etc/init.d/rsyslog stop

Shutting down system logger:                               [  OK  ]

[root@Centos ~]# su - cjkaifa001

[cjkaifa001@Centos ~]$ cd /

[cjkaifa001@Centos /]$ pwd

/

[cjkaifa001@Centos /]$ ls /root

ls: cannot open directory /root: Permission denied

[cjkaifa001@Centos /]$ sudo ls /root

[sudo] password for cjkaifa001: 

anaconda-ks.cfg  dead.letter  Downloads        install.log.syslog  Public           Videos

backup           Desktop      etc.tar.gz.2016  Music               tar.gz.20160820

data             Documents    install.log      Pictures            Templates

[cjkaifa001@Centos /]$ cat /var/log/sudo.log

cat: /var/log/sudo.log: Permission denied

[cjkaifa001@Centos /]$ sudo cat /var/log/sudo.log

[sudo] password for cjkaifa001: 

Sep 11 03:24:39 : cjkaifa001 : TTY=pts/1 ; PWD=/ ; USER=root ; COMMAND=/bin/ls

    /root

Sep 11 03:30:57 : cjkaifa001 : TTY=pts/1 ; PWD=/ ; USER=root ; COMMAND=/bin/cat

    /var/log/sudo.log

经过测试,直接停掉rsyslog服务,只配置/etc/sudoers也可以记录用户sudo提权操作日志记录

 

备注:实际生产环境中,可将日志审计记录结果定期推送至指定的日志备份服务器上,后续会介绍具体操作过程(如何推送日志记录)

如需转载,烦请注明原出处,更多内容可以扫描下方二维码关注公众号

吉利彩票平台注册 2

长按二维码关注微信公众号——友侃有笑

 

TAG标签:
版权声明:本文由吉利彩票平台注册-吉利彩票平台官方注册-官网推荐发布于吉利彩票平台注册,转载请注明出处:sudo日志审计,Linux简单的日志审计