一)生产环境日志审计解决方案:
二)配置sudo日志审计说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录,那些执行sudo命令的用户的操作。 1、安装sudo命令,rsyslog服务1 [root@s-28 /]# rpm -qa|grep sudo #要是没安装执行yum install sudo -y2 sudo-1.8.19p2-13.el7.x86_643 [root@s-28 /]# rpm -qa|grep rsyslog #要是没安装执行yum install rsyslog -y4 rsyslog-8.24.0-16.el7.x86_645 [root@s-28 /]# 2、配置服务2.1配置系统日志/etc/rsyslog.conf,增加配置local.debug到/etc/rsyslog.conf中 1 [root@s-28 /]# cat /var/log/ #查看日志文件是否存在没有就创建mkdir -p /var/log2 cat: /var/log/: Is a directory3 [root@s-28 /]# cat /etc/redhat-release 4 CentOS Linux release 7.5.1804 (Core) 5 [root@s-28 /]# uname -r6 3.10.0-862.el7.x86_647 [root@s-28 /]# tail -1 /etc/rsyslog.conf #没有就执行echo "local.debug /var/log/sudo.log">>/etc/rsyslog.conf8 local.debug /var/log/sudo.log9 [root@s-28 /]# 2.2配置/etc/sudoers,增加配置 “Defaults logfile=/var/log/sudo.log” 到/etc/sudoers中,注意:不包含引号。 1 [root@s-28 /]# echo "Defaults logfile=/var/log/sudo.log">>/etc/sudoers2 [root@s-28 /]# tail -1 /etc/sudoers 3 Defaults logfile=/var/log/sudo.log4 [root@s-28 /]# visudo -c5 /etc/sudoers: parsed OK6 [root@s-28 /]# 3、重启syslog内核日志记录器(简单来说就是重启服务了)1 [root@s-28 /]# systemctl restart rsyslog2 [root@s-28 /]# 说到审计,有时候需要自定义审计规则,想了解的请参考下文哦: CentOS 7上编写自定义系统审计规则 |
|
来自: XeonGate > 《Ubuntu 16.04.6》