sudo + syslog日志审计+登陆用户操作统计 - 行业资讯 - 肥雀云

[root@shangke ~] #, rpm qa | egrep “sudo | syslog” 　　rsyslog el6_6.x86_64——5.8.10 - 10. 　　sudo el6.x86_64——1.8.6p3 - 19. 　　如果没有安装,则用yum安装,yum install -y sudo syslog

[root@shangke ~] #, echo “Defaults 日志文件=/var/log/sudo.log”,在在/etc/sudoers 　　(root@shangke ~) #, tail 1,/etc/sudoers , # #检查操作是否成功　　Defaults 日志文件=/var/log/sudo.log 　　(root@shangke ~) #, visudo -c ,,,, # #检查sudoers文件语法/etc/sudoers: parsed 好

[root@shangke ~] #, echo “local2.debug /var/log/sudo.log”,在在/etc/rsyslog.conf 　　(root@shangke ~) #, tail 1,/etc/rsyslog.conf ,, # #检查配置　　local2.debug /var/log/sudo.log

[root@shangke ~] #,/etc/摆在/rsyslog restart , 　　Shutting down system 记录器:,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,(OK 才能,,) 　　Starting system 记录器:,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,[OK 才能;,]

[root@shangke ~] #, ll /var/log/sudo.log 　　- - - - - - -女人;1,root root 1148年,Jan 31, 16:05 /var/log/sudo。日志

[root@shangke ~] #,显示本用户信息　　根　　(root@shangke ~) # pwd/根　　(root@shangke ~) #, useradd mzq 　　(root@shangke ~) #, vi /etc/sudoers 　　mzq ,,=(),,,, 　　(root@shangke ~) #, su 作用;mzq 　　(mzq@shangke ~),美元sudo - l 　　Matching Defaults entries for mzq 提醒却;能够主持人: 　　,,,,,requiretty ! visiblepw,, always_set_home,, env_reset,, env_keep=" COLORS DISPLAY HOSTNAME HISTSIZE 　　,,,INPUTRC KDEDIR LS_COLORS”,, env_keep +=盡AIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE”, 　　,,,env_keep +=盠C_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES”、“LC_MONETARY env_keep +=,,,LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE”,, env_keep +=盠C_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET 　　,,,XAUTHORITY”,, secure_path=/sbin \:/bin \:/usr/sbin/:/usr/bin,日志文件=/var/log/sudo.log 　　User mzq may run 从而following commands 提醒却;能够主持人: 　　,,,(所有),NOPASSWD:,/bin/苏,,(所有),/usr/bin/sudo,(所有),所有　　(mzq@shangke ~),美元su 作用; 　　密码: 　　(root@shangke ~) #, cat /var/log/sudo.log 　　Jan 31, 16:05:27 , mzq :, TTY=pts/0,,, PWD=/home/mzq ;,用户=root ;命令=/bin/猫　　,,/var/log/sudo.log 　　Jan 31, 16:24:11 , mzq :, TTY=pts/0,,, PWD=/home/mzq ;,用户=root ;命令=列表　　Jan 31, 16:25:09 , mzq :, TTY=pts/0,,, PWD=/home/mzq ;,用户=root ;命令=/bin/猫　　,,,/var/log/sudo。日志

[root@shangke ~] #, vim /etc/profile 　　在最后添加下面内容:export HISTORY_FILE=/var/log/useraudit.logexport PROMPT_COMMAND=" {, h=癶istory 1”; w=who am 我的;echo -e 美元(date “+ Y % - % - % d % h: % m: % S”),——安康;w 美元;- - - h美元;},在祝辞,$ HISTORY_FILE '然后执行命令: 　　(root@shangke ~) #, touch ,/var/log/useraudit.log 　　(root@shangke ~) #, chmod 777年,/var/log/useraudit.log 　　(root@shangke ~) #, chattr + a ,/var/log/useraudit.log 　　(root@shangke ~) #, cat /var/log/useraudit.log 　　2016 - 01 - 31,16:30:16 ——安康;root pts/0, 2016 - 01 - 31, 16:21 (10.0.0.1)表示,——安康;15 su - 　　2016 - 01 - 31,16:30:18 ——安康;root pts/0, 2016 - 01 - 31, 16:21 (10.0.0.1)表示,——安康;16 ls 　　2016 - 01 - 31,16:30:22 ——安康;root pts/0, 2016 - 01 - 31, 16:21 (10.0.0.1)表示,——安康;17,sudo ls 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null