生产环境日志审计解决方案
生产环境日志审计解决方案
所谓日志审计,就是就是记录所有系统及相关的信息,并且可以自动分析,处理,展示(包括文本或者录像)
法1)通过环境变量命令以及syslog服务进行全部日志审计(信息太大,不推荐)
法2) sudo配合syslog,进行日志审计(信息量少,效果不错)
法3) 在bash 解释器程序里镶嵌一个监视器,让所有审计的系统用户使用修改过增加了监视器的特殊bash程序作为解释程序
法4) 齐治的堡垒机:商业产品
1.
安装sudo命令、syslog服务(centos6.4或以上为rsyslog服务)
[root@web01 ~]# rpm -qa “sudo|syslog” 查询系统是否安装sudo,syslog
rsyslog-5.8.10-10.el6_6.x86_64
sudo-1.8.6p3-19.el6.x86_64
[root@web01 ~]# rpm -qa|egrep “sudo|syslog”
rsyslog-5.8.10-10.el6_6.x86_64
sudo-1.8.6p3-19.el6.x86_64
[root@web01 ~]#
如果没有安装则执行下面命令安装
yum install sudo syslog -y
2.配置/etc/sudoers
增加配置“Defaults logfile=http://img.xue163.com/var/log/sudo.log”到/etc/sudoers中,注意:不包含引号
[root@web01 ~]# echo “Defaults logfile=/var/log/sudo.log”>> /etc/sudoers
[root@web01 ~]# tail -l /etc/sudoers
# %users ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom
## Allows members of the users group to shutdown this system
# %users localhost=/sbin/shutdown -h now
## Read drop-in files from /etc/sudoers.d (the # here does not mean a comment)#includedir /etc/sudoers.d
Defaults logfile=/var/log/sudo.log
Defaults logfile=/var/log/sudo.log
[root@web01 ~]#visudo -c 检查sudoers文件语法
/etc/sudoers: parsed OK
3.配置系统日志/etc/syslog.conf
增加配置local2.debug到/etc/syslog.conf中(Centos5.8中)
[root@web01 ~]#echo “local2.debug /var/log/sudo.log”>>/etc/syslog.conf
[root@web01 ~]#tail -1 /etc/syslog.conf
local2.debug /var/log/sudo.log
提示:如果是Centos6.4 路径为/etc/rsyslog.conf
[root@web01 ~]#echo “local2.debug /var/log/sudo.log”>>/etc/rsyslog.conf
[root@web01 ~]#tail -1 /etc/rsyslog.conf
local2.debug /var/log/sudo.log
4.重启syslog或rsyslog内核日志记录器
/etc/init.d/syslog restart(Centos5.8)
/etc/init.d/rsyslog restart(Centos6.4)
[root@web01 ~]#/etc/init.d/rsyslog restart
Shutting down system logger: [ OK ]
Starting system logger: [ OK ]
[root@web01 ~]#ll /var/log/sudo.log
-rw——- 1 root root 0 Jun 23 23:17 /var/log/sudo.log
5.测试sudo日志审计配置结果
[root@web01 ~]#whoami
root
[root@web01 ~]$ sudo useradd litao999 添加用户测试
[root@web01 ~]$sudo userdel –r litao999 删除用户测试
root用户下查看(为了日志安全仅能在root下查看
[root@web01 ~]# tail -5 /var/log/sudo.log 记录oldboy的sudo日志执行情况
Oct 31 10:55:40 : root : TTY=pts/2 ; PWD=/root ; USER=root ; COMMAND=list
Oct 31 20:04:17 : chujiyw001 : 命令禁止使用 ; TTY=pts/0 ;
PWD=/home/chujiyw001 ; USER=root ; COMMAND=list
[root@web01 ~]#
6.日志集中管理
1)rsync+inotify或定时任务+rsync,推到日志管理服务器上,10.0.0.7_20120309.sudo.log
2)syslog服务来处理
[root@web01~]#echo “10.0.2.164 logserver”>>/etc/hosts
#日志服务器地址
[root@web01~]#echo “*.info @logserver”>>/etc/syslog.conf<<====适合所有日志推走
3)日志收集解决方案scribe、Flume、logstash、stom
