共計 2851 個字符，預計需要花費 8 分鐘才能閱讀完成。

本文丸趣 TV 小編為大家詳細介紹“Linux 系統的 sudo 日志審計怎么配置”，內容詳細，步驟清晰，細節處理妥當，希望這篇“Linux 系統的 sudo 日志審計怎么配置”文章能幫助大家解決疑惑，下面跟著丸趣 TV 小編的思路慢慢深入，一起來學習新知識吧。

一：生產環境中日志審計方案如下：

1、syslog 全部操作日志審計，此種方法信息量大，不便查看

2、sudo 日志配合 syslog 服務進行日志審計

3、堡壘機日志審計

4、bash 安裝監視器，記錄用戶使用操作

二：配置 sudo 日志審計

1、安裝 sudo 與 syslog 服務

[root@Centos ~]# rpm -qa|grep sudo

sudo-1.8.6p3-24.el6.x86_64

[root@Centos ~]# rpm -qa|grep rsyslog

rsyslog-5.8.10-10.el6_6.x86_64

檢查是否安裝兩種服務，如果沒有安裝，就使用下面的命令進行安裝

yum install sudo -y

yum install rsyslog -y

備注：Centos 5.x 為 syslog，Centos 6.x 為 rsyslog

2、配置服務

創建日志保存目錄

[root@Centos ~]# mkdir -p /var/log/

服務器環境查看

[root@Centos ~]# cat /etc/redhat-release 

CentOS release 6.5 (Final)

[root@Centos ~]# uname -r

2.6.32-431.el6.x86_64

服務器環境為 centos 6.5 所以 syslog 日志配置文件為 /etc/rsyslog.conf

[root@Centos ~]#echo local2.debug /var/log/sudo.log /etc/rsyslog.conf

查看配置

[root@Centos ~]# tail -1 /etc/rsyslog.conf 

local2.debug  /var/log/sudo.log

如果服務器為 centos 5.x 所以 syslog 日志配置文件為 /etc/syslog.conf

[root@Centos ~]#echo local2.debug /var/log/sudo.log /etc/syslog.conf

[root@Centos ~]#echo Defaults logfile=/var/log/sudo.log /etc/sudoers

查看配置

[root@Centos ~]# tail -1 /etc/syslog.conf 

local2.debug  /var/log/sudo.log

3、配置 /etc/sudoers

[root@Centos ~]# echo Defaults logfile=/var/log/sudo.log /etc/sudoers

[root@Centos ~]# tail -1 /etc/sudoers 

Defaults logfile=/var/log/sudo.log

4、重啟服務

[root@Centos ~]# /etc/init.d/rsyslog restart

Shutting down system logger:                               [ OK  ]

Starting system logger:                                    [ OK  ]

三：測試日記審計結果

[root@Centos ~]# su – cjkaifa001

[cjkaifa001@Centos ~]$ pwd

/home/cjkaifa001

[cjkaifa001@Centos ~]$ touch 123.txt

[cjkaifa001@Centos ~]$ sudo ls

123.txt

[cjkaifa001@Centos ~]$ cat /var/log/sudo.log 

cat: /var/log/sudo.log: Permission denied

直接使用 cat 命令提示權限不足

[cjkaifa001@Centos ~]$ sudo cat /var/log/sudo.log 使用 sudo 提權后可查看

Sep 11 02:41:50 : cjkaifa001 : TTY=pts/1 ; PWD=/home/cjkaifa001 ; USER=root ;

    COMMAND=/bin/ls

Sep 11 02:44:57 : cjkaifa001 : TTY=pts/1 ; PWD=/home/cjkaifa001 ; USER=root ;

    COMMAND=/bin/cat /var/log/sudo.log

經過測試能正常記錄用戶使用 sudo 的操作日志記錄，其它命令沒有記錄

[root@Centos ~]# rm -rf /var/log/sudo.log 

[root@Centos ~]# /etc/init.d/rsyslog stop

Shutting down system logger:                               [ OK  ][root@Centos ~]# su – cjkaifa001

[cjkaifa001@Centos ~]$ cd /

[cjkaifa001@Centos /]$ pwd

/

[cjkaifa001@Centos /]$ ls /root

ls: cannot open directory /root: Permission denied

[cjkaifa001@Centos /]$ sudo ls /root

[sudo] password for cjkaifa001: 

anaconda-ks.cfg  dead.letter  Downloads        install.log.syslog  Public           Videos

backup           Desktop      etc.tar.gz.2016  Music               tar.gz.20160820

data             Documents    install.log      Pictures            Templates

[cjkaifa001@Centos /]$ cat /var/log/sudo.log

cat: /var/log/sudo.log: Permission denied

[cjkaifa001@Centos /]$ sudo cat /var/log/sudo.log

[sudo] password for cjkaifa001: 

Sep 11 03:24:39 : cjkaifa001 : TTY=pts/1 ; PWD=/ ; USER=root ; COMMAND=/bin/ls

    /root

Sep 11 03:30:57 : cjkaifa001 : TTY=pts/1 ; PWD=/ ; USER=root ; COMMAND=/bin/cat

    /var/log/sudo.log

經過測試，直接停掉 rsyslog 服務，只配置 /etc/sudoers 也可以記錄用戶 sudo 提權操作日志記錄

讀到這里，這篇“Linux 系統的 sudo 日志審計怎么配置”文章已經介紹完畢，想要掌握這篇文章的知識點還需要大家自己動手實踐使用過才能領會，如果想了解更多相關內容的文章，歡迎關注丸趣 TV 行業資訊頻道。