Linux 用户行为日志记录

工作中我们常常遇到,有的员工不安于被分配的权限,老是想sudo echo "ziji" /usr/bin/visudo NOPASSWD:ALL来进行提权,造成误删了数据库某条重要的数据,或者执行了一条命令对线上生产造成了严重的影响,部门老大又苦于找不到造成这种现象的操作者,CTO对你们部门直接扣除绩效,这样你们集体成了背锅侠。。。为了记录员工做的违规操作行为,所以就有了以下的方案。
我们今天要学习的是:sudo日志审计,专门对使用sudo命令的系统用户记录其执行的命令相关信息。

说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录,那些执行sudo命令的用户的操作。

1、安装sudo命令,rsyslog服务

2、配置/etc/sudoers
增加配置 “Defaults        logfile=/var/log/sudo.log” 到/etc/sudoers中,注意:不包含引号。

3、配置系统日志/etc/rsyslog.conf
增加配置local.debug到/etc/rsyslog.conf中

4、重启syslog内核日志记录器

[root@lrz ~]# /etc/init.d/rsyslog  restart
Shutting down system logger:                               [  OK  ]
Starting system logger:                                    [  OK  ] 

此时,会自动建立一个/var/log/sudo.log文件(日志中配置的名字)并且文件权限为600,所有者和组均为root(如果看不到日志文件,就退出重新登录看看)。

[root@king ~]# ls -l /var/log/sudo.log
-rw-------. 1 root root 0 Dec  3 14:50 /var/log/sudo.log

5、测试sudo 日志审计结果
 根据前文讲解的建立用户oldboy拥有sudo 权限,同时使用root用户登录查看/var/log/sudo.log

复制代码
复制代码
[xiaorui@lrz ~]$ sudo useradd zzy
[sudo] password for xiaorui:
[xiaorui@lrz ~]$ sudo userdel zzy
[xiaorui@lrz ~]$ cd /home
[xiaorui@lrz home]$ ls
xiaorui  zzy
[xiaorui@lrz home]$ sudo userdel -r zzy
userdel: user 'zzy' does not exist
[xiaorui@lrz home]$ rm -rf zzy/
rm: 无法删除"zzy": 权限不够
[xiaorui@lrz home]$ sudo rm -rf zzy/
[xiaorui@lrz home]$ ls
xiaorui
复制代码
复制代码

查看日志统计结果:

复制代码
复制代码
[root@lrz ~]# tail -20 /var/log/sudo.log
Dec  3 14:53:03 : xiaorui : TTY=pts/0 ; PWD=/home/xiaorui ; USER=root ;
    COMMAND=/usr/sbin/useradd zzy
Dec  3 14:53:14 : xiaorui : TTY=pts/0 ; PWD=/home/xiaorui ; USER=root ;
    COMMAND=/usr/sbin/userdel zzy
Dec  3 14:53:36 : xiaorui : TTY=pts/0 ; PWD=/home ; USER=root ;
    COMMAND=/usr/sbin/userdel -r zzy
Dec  3 14:53:53 : xiaorui : TTY=pts/0 ; PWD=/home ; USER=root ; COMMAND=/bin/rm
    -rf zzy/
Dec  3 14:54:03 : xiaorui : TTY=pts/0 ; PWD=/home ; USER=root ; COMMAND=/bin/su
    -
复制代码
复制代码

生产环境日志审计解决方案:
  所谓日志审计,就是记录所有系统及相关用户行为的信息,并且可以自动分析,处理,展示(包括文本或着录像)
  方法1:通过环境变量命令及syslog服务进行全部日志审计(信息太大,不推荐)
  方法2:sudo配合syslog服务,进行日志审计(信息较少,效果不错)
  方法3:在bash解释器程序里嵌入一个监视器,让所有被审计的系统用户使用修改过的增加了监视器的特殊bash程序作为解释程序。
  方法4:齐治的堡垒机:商业产品

日志集中管理(了解):
  1、rsync+inotify或定时任务+rsync,推到日志管理服务器上,10.0.0.7_20151203.sudo.log
  2、rsyslog服务来处理

[root@lrz ~]# echo "10.0.2.164  logserver">>/etc/hosts
[root@lrz ~]# echo "*.info   @logserver">>/etc/rsyslog.conf

  3、日志收集解决工具:scribe,flume,stom,logstashLInux

posted @ 2019-05-14 17:15  星朝  阅读(6733)  评论(0编辑  收藏  举报