linux 之日志审计
root 权限泛滥,导致文件莫名丢失,给服务器造成肯定的安全隐患,所以有了这篇服务器日志审计
1. 安装sudo命令,syslog服务
# 查看能否安装 sudo 和syslog[root@node1 zck]# rpm -aq|egrep "sudo|syslog"sudo-1.8.6p3-15.el6.x86_64rsyslog-5.8.10-8.el6.x86_64- 没装的执行下面这条命令
yum install sudo syslog -y2. 配置/etc/sudoers
- 添加配置“Defaults logfile = /var/log/sudo.log” 到 /etc/sudoers中 (意义:把sudo的命令操作打到log 里面去)
[root@node1 zck]# echo "Defaults logfile=/var/log/sudo.log">>/etc/sudoers[root@node1 zck]# tail -1 /etc/sudoers # 检查Defaults logfile=/var/log/sudo.log[root@node1 zck]# visudo -c # 检查语法/etc/sudoers: parsed OK/etc/sudoers.d/ctdb: parsed OK3. 配置系统日志/etc/syslog.conf
- 添加配置local2.debug 到/etc/syslog.conf 中。
echo "local2.debug /var/log/sudo.log">>/etc/rsyslog.conf # 记录debug4. 重启syslog 内核日志记录器
[root@node1 zck]# /etc/init.d/rsyslog restart # 重启Shutting down system logger: [ OK ]Starting system logger: [ OK ][root@node1 zck]# ll /var/log/sudo.log # 自动生成一个log-rw------- 1 root root 0 Apr 30 22:49 /var/log/sudo.log5. 测试sudo 日志审计配置结果
[root@node1 zck]# su zck [zck@node1 ~]$ sudo useradd aaa[sudo] password for zck: zck is not in the sudoers file. This incident will be reported.[zck@node1 ~]$ cat /var/log/sudo.log # log里面已经有记录了Apr 30 23:03:13 : zck : user NOT in sudoers ; TTY=pts/0 ; PWD=/home/zck ; USER=root ; COMMAND=/usr/sbin/useradd aaa说明
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是摆设,本站源码仅提供给会员学习使用!
7. 如遇到加密压缩包,请使用360解压,如遇到无法解压的请联系管理员
开心源码网 » linux 之日志审计
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是摆设,本站源码仅提供给会员学习使用!
7. 如遇到加密压缩包,请使用360解压,如遇到无法解压的请联系管理员
开心源码网 » linux 之日志审计
