前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >利用rsyslog 对Linux用户进行审计

利用rsyslog 对Linux用户进行审计

作者头像
星哥玩云
发布2022-07-03 10:18:33
1.1K0
发布2022-07-03 10:18:33
举报
文章被收录于专栏:开源部署开源部署

rsyslog 是标准Linux系统的一部分,能够实时的写日志,并且还可以将日志选择性的发送到远程日志服务器

要审计用户执行的命令,依赖.bash_history 或 script 是不可靠的,两者虽然记录了用户行为,但是可能被用户篡改。利用rsyslog 可以将日志实时写入远程日志服务器,从而杜绝用户篡改,提高审计材料的真实度。

以Ubuntu为例,下面的办法可以让rsyslog记录用户所执行的命令以及时间戳,供审计使用。 

1、rsyslog 添加日志

echo "local6.* /var/log/commands.log" >/etc/rsyslog.d/bash.conf

2、在/etc/profile 中加入

function bash2syslog

{

  declare command

  command=$(fc -ln -0)

  logger -p local6.notice -t bash "

}

trap bash2syslog DEBUG

这里写入本地日志。logger 命令也可以直接将日志写入远程服务器,见man logger 。

建议root 用户的umask 值设置为027或者007,防止/var/log/commands.log文件被普通用户查看到。

3、日志轮转

编辑/etc/logrotate.d/rsyslog 在中间增加一段

/var/log/commands.log

{

        rotate 30

        weekly

        missingok

        notifempty

        compress

        delaycompress

        sharedscripts

        postrotate

                reload rsyslog >/dev/null 2>&1 || true

        endscript

4、重启rsyslog,用户退出重新登陆

service rsyslog restart

5、rsyslog 发送日志到远程服务器(可选)

echo "local6.*          @@192.168.0.2" >>/etc/rsyslog.conf

6、利用watchdog监视rsyslog,如果服务被停止,则重启机器 (可选)

apt-get install watchdog

update-rc.d watchdog defaults

Cat >> /etc/watchdog.conf  <<EOF

watchdog-device    = /dev/watchdog

admin                  = root

interval                = 1

logtick                = 1

log-dir                = /var/log/watchdog

pidfile                = /var/run/rsyslogd.pid

EOF

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
日志服务
日志服务(Cloud Log Service,CLS)是腾讯云提供的一站式日志服务平台,提供了从日志采集、日志存储到日志检索,图表分析、监控告警、日志投递等多项服务,协助用户通过日志来解决业务运维、服务监控、日志审计等场景问题。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档