• (转)企业配置sudo命令用户行为日志审计


    原文:https://www.cnblogs.com/Csir/p/6403830.html?utm_source=itdadao&utm_medium=referral

    第15章 企业配置sudo命令用户行为日志审计

    15.1 生产环境企业日志审计解决方案:

    所谓日志审计,就是记录所有系统及相关用户行为的信息,并且可以自动分析、处理、展示(包括文本或录像)

    下面是各种解决方案

    l 通过环境变量命令及rsyslog服务进行所有用户的所有操作的全部日志审计(信息太大,不推荐)

    l sudo配合rsyslog服务,进行sudo日志审计(审计信息较少,效果不错)。

    l 在bash解释器程序里嵌入一个监视器,让所有被审计的系统用户使用修改过的增加了监视器的特殊bash程序作为解释程序。

    l 齐治堡垒机:商业产品

    l python开发的开源产品:CrazyEye

    http://3060674.blog.51cto.com/3050674/1700814

    l 开源跳板机(堡垒机)Jumpserver部署详解

    http://blog.51cto.com/zt/658

    gateone web 跳板机

    http://liftoffsoftware.com/Products/GateOne

    sudo日志审计是专门对使用sudo命令的系统用户记录其执行的命令相关信息

    15.2 服务器用户权限管理改造方案与实施项目

    1. 提出权限整改解决方案改进公司超级权限root泛滥的现状。

    2. 召集大家开会讨论确定方案后推进实施。

    3. 实施后使得公司的权限管理更加表晰了(总结维护),从根本上降低了内部操作等不规范

    15.3 服力器日志审计项目提出与实施

    1. 权限控制后进一步实施对所有用户日志记录方案。

    2. 通过sudo和syslog配合实现对所有用户进行日志审计并将记录集中管理。

    3. 实施后让所有运维和开发的所有执行的命令都有记录可查,杜绝了内部人员的操作安全隐民患。

    第16章 sudo日志审计

    16.1 配置/etc/sudoers

    一行即搞定

    复制代码
    [root@34moban ~]# echo "Defaults logfile=/var/log/sudo.log" >/etc/sudoers
    
    [root@34moban ~]# tail -1 /etc/sudoers
    
    Defaults logfile=/var/log/sudo.log
    
    [root@34moban ~]# visudo -c
    
    /etc/sudoers: parsed OK
    复制代码

    16.2 日志集中管理(了解):

    1. rsync+inotify或定时任务+rsync,推到日志管理服务器上,10.0.0.7_20130302.sudo.log

    2. rsyslog服务来处理。

    echo "10.0.2.164 logserver" >> /etc/hosts

    #日志服务器地址

    echo "*.info @logserver" >> /etc/syslog.conf ç适合所有日志推走

    3. 日志收集解决方案 scribe,Flume,stom,logstash ELK

    博主的linux交流群:605799367

  • 相关阅读:
    oracle用户被锁死
    windows远程桌面智能调整大小
    批量ping测试脚本
    信息的组织和提取方法
    BeautifulSoup
    requests模块学习
    Telerik Fiddler 应用方法
    js 时间格式换成 把字符串(yyyymmdd)转换成日期格式(yyyy-mm-dd)记录
    vuedraggable 拖拽 应用 不同列表之间的拖拽
    vue项目图片上传 vant van-uploader 图片上传
  • 原文地址:https://www.cnblogs.com/liujiacai/p/8146538.html
Copyright © 2020-2023  润新知