Linux 用户行为日志记录
工作中我们常常遇到,有的员工不安于被分配的权限,老是想sudo echo "ziji" /usr/bin/visudo NOPASSWD:ALL来进行提权,造成误删了数据库某条重要的数据,或者执行了一条命令对线上生产造成了严重的影响,部门老大又苦于找不到造成这种现象的操作者,CTO对你们部门直接扣除绩效,这样你们集体成了背锅侠。。。为了记录员工做的违规操作行为,所以就有了以下的方案。
我们今天要学习的是:sudo日志审计,专门对使用sudo命令的系统用户记录其执行的命令相关信息。
说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录,那些执行sudo命令的用户的操作。
1、安装sudo命令,rsyslog服务
2、配置/etc/sudoers
增加配置 “Defaults logfile=/var/log/sudo.log” 到/etc/sudoers中,注意:不包含引号。
3、配置系统日志/etc/rsyslog.conf
增加配置local.debug到/etc/rsyslog.conf中
4、重启syslog内核日志记录器
[root@lrz ~]# /etc/init.d/rsyslog restart Shutting down system logger: [ OK ] Starting system logger: [ OK ]
此时,会自动建立一个/var/log/sudo.log文件(日志中配置的名字)并且文件权限为600,所有者和组均为root(如果看不到日志文件,就退出重新登录看看)。
[root@king ~]# ls -l /var/log/sudo.log -rw-------. 1 root root 0 Dec 3 14:50 /var/log/sudo.log
5、测试sudo 日志审计结果
根据前文讲解的建立用户oldboy拥有sudo 权限,同时使用root用户登录查看/var/log/sudo.log
[xiaorui@lrz ~]$ sudo useradd zzy [sudo] password for xiaorui: [xiaorui@lrz ~]$ sudo userdel zzy [xiaorui@lrz ~]$ cd /home [xiaorui@lrz home]$ ls xiaorui zzy [xiaorui@lrz home]$ sudo userdel -r zzy userdel: user 'zzy' does not exist [xiaorui@lrz home]$ rm -rf zzy/ rm: 无法删除"zzy": 权限不够 [xiaorui@lrz home]$ sudo rm -rf zzy/ [xiaorui@lrz home]$ ls xiaorui
查看日志统计结果:
[root@lrz ~]# tail -20 /var/log/sudo.log Dec 3 14:53:03 : xiaorui : TTY=pts/0 ; PWD=/home/xiaorui ; USER=root ;COMMAND=/usr/sbin/useradd zzy Dec 3 14:53:14 : xiaorui : TTY=pts/0 ; PWD=/home/xiaorui ; USER=root ;COMMAND=/usr/sbin/userdel zzy Dec 3 14:53:36 : xiaorui : TTY=pts/0 ; PWD=/home ; USER=root ;COMMAND=/usr/sbin/userdel -r zzy Dec 3 14:53:53 : xiaorui : TTY=pts/0 ; PWD=/home ; USER=root ; COMMAND=/bin/rm-rf zzy/ Dec 3 14:54:03 : xiaorui : TTY=pts/0 ; PWD=/home ; USER=root ; COMMAND=/bin/su-
生产环境日志审计解决方案:
所谓日志审计,就是记录所有系统及相关用户行为的信息,并且可以自动分析,处理,展示(包括文本或着录像)
方法1:通过环境变量命令及syslog服务进行全部日志审计(信息太大,不推荐)
方法2:sudo配合syslog服务,进行日志审计(信息较少,效果不错)
方法3:在bash解释器程序里嵌入一个监视器,让所有被审计的系统用户使用修改过的增加了监视器的特殊bash程序作为解释程序。
方法4:齐治的堡垒机:商业产品
日志集中管理(了解):
1、rsync+inotify或定时任务+rsync,推到日志管理服务器上,10.0.0.7_20151203.sudo.log
2、rsyslog服务来处理
[root@lrz ~]# echo "10.0.2.164 logserver">>/etc/hosts [root@lrz ~]# echo "*.info @logserver">>/etc/rsyslog.conf
3、日志收集解决工具:scribe,flume,stom,logstashLInux
转载于:https://www.cnblogs.com/liang-io/p/9617783.html
Linux 用户行为日志记录相关推荐
- 2012文件服务器 读写日志,管理用户访问日志记录记录
管理用户访问日志记录记录 10/16/2017 本文内容 适用范围:Windows Server 2022.Windows Server 2019.Windows Server 2016.Window ...
- Linux用户登录日志查询
# 1 utmp.wtmp.btmp文件 Linux用户登录信息放在三个文件中: 1 /var/run/utmp:记录当前正在登录系统的用户信息,默认由who和w记录当前登录用户的信息,uptime记 ...
- linux多进程的日志记录实现,Linux守护进程的日志实现
[syslogd守护进程] 由于守护进程没有控制终端进行信息的输出,而有些情况还需要根据进程提供的信息进行系统管理和维护工作.因此Linux提供了syslogd守护进程,专门用于接受其他守护进程提供的 ...
- 菜鸟学习之linux用户行为日志审计方案
今天学习了了sudo日志审计,专门对使用sudo命令系统的用户记录其执行的相关命令信息 说明:所谓sudo命令日志审计,不记录普通用户操作,而是记录执行sudo命令的用户操作 1.安装sudo命令,s ...
- 自定义注解妙用,一行代码搞定用户操作日志记录,你学会了吗?
来源:https://blog.csdn.net/yjt520557/article/details/85099115 | 简介 我在使用spring完成项目的时候需要完成记录日志,我开始以为Spri ...
- 自定义注解妙用,一行代码搞定用户操作日志记录
1.简介 在使用spring完成项目的时候需要完成记录日志,开始以为Spring 的AOP功能,就可以轻松解决,半个小时都不用,可是经过一番了解过后,发现一般的日志记录,只能记录一些简单的操作,例如表 ...
- 基于struts2拦截器实现用户操作日志记录
2019独角兽企业重金招聘Python工程师标准>>> 这里基于struts2的拦截器来实现. 使用struts2拦截器拦截所有或者指定的请求,对用户操作过程中的:操作用户,操作时间 ...
- linux用户行为日志审计方案
今天学习了了sudo日志审计,专门对使用sudo命令系统的用户记录其执行的相关命令信息 说明:所谓sudo命令日志审计,不记录普通用户操作,而是记录执行sudo命令的用户操作 1.安装sudo命令,s ...
- Linux 之log 日志记录
在Linux 中可以用syslog 函数向系统日志文件中写入日志记录,日志记录正常在/var/log/messages文件里,在syslog使用时在哪里需要记录日志的地方调用该函数即可. openlo ...
最新文章
- 数据库设计中的范式、关联与nosql分析【转】
- Matlab中varargin函数
- 打包跳过编译_Apache Flink v1.9-SNAPSHOT 源码编译
- java的imshow方法_imshow窗口是截止的
- php导出照片,TP5导出excel图片和数据--先下载图片到本地服务器
- 14_Android中Service的使用,关于广播接收者的说明
- 【springboot】禁用特定AutoConfiguration/自动配置类
- NLog在asp.net core中的应用
- 整合框架过程记录日志
- 战神II导演 首席程序员访谈(转自www.npc6.com )
- aes密文长度_RSA加密密文可变(一句话说明)
- libc.so.6linux查找,Linux中提示:/lib64/libc.so.6: version `GLIBC_2.17' not found 的解决办法...
- CentOS 安装最新版本 Git
- redis练习-模拟手机验证码的发送
- 【日常记录】CTF审查清单(windows)
- stc单片机c语言编程软件,stc isp官方下载-STC单片机ISP下载编程软件下载v6.85i 官方最新版-西西软件下载...
- 金融银行测试面试题:网上银行转账是怎么测的?
- Intent 简介与详解
- php文字转拼音API接口下载,微擎API 开发之汉字转拼音助手
- 大数据十年:Cloudera向左,Palantir向右