日志审计

配置sudo命令日志审计，实现对普通用户的sudo操作进行记录。

目的：

   1.记录普通用户的操作，以便在服务器故障时及时的定位问题，确定责任人。

   2.对服务器用户起到威慑作用，可以让所有人员在服务器上小心操作

用sudo+rsyslog实现日志审计

部署：

1.查看是否安装sudo和rsyslog，如未安装yum install sudo rsyslog -y

[root@t6 ~]# rpm -qa|grep -E "sudo|rsyslog"
rsyslog-5.8.10-6.el6.x86_64
sudo-1.8.6p3-7.el6.x86_64

2. 编辑/etc/sudoers文件，添加记录日志路径

[root@t6 ~]# echo "Defaults logfile=/var/log/sudo.log">>/etc/sudoers

测试：

[ggp@c6 ~]$ sudo ls
tools
[ggp@c6 ~]$ ls
tools
[ggp@c6 ~]$ cat /var/log/sudo.log
cat: /var/log/sudo.log: Permission denied
[ggp@c6 ~]$ sudo cat /var/log/sudo.log
Dec 26 20:27:53 : ggp : TTY=pts/0 ; PWD=/home/ggp ; USER=root ; COMMAND=/bin/ls
Dec 26 20:28:06 : ggp : TTY=pts/0 ; PWD=/home/ggp ; USER=root ; COMMAND=/bin/cat
    /var/log/sudo.log
[ggp@c6 ~]$

只记录用sudo执行的命令。

工作中，可将日志文件sudo.log推到日志服务器，统一管理。