我们正在从共享的root密码过渡到使用sudo。如何审核sudo的使用情况?


8

当我上任时,我们所有的SA都必须记住系统的root密码。我觉得这很麻烦(当有人离开公司时,我们必须触摸每台服务器并更改密码)并且不安全。

终于有了足够的吸引力来推动具有sudo访问权限的个人帐户。我想要一个平稳的过渡,所以这是我的最初计划:

  1. 允许SA执行“批准的”命令而无需输入密码。
  2. 每次使用其他命令时,都需要输入密码sudo。如果有必要,我将审核此命令并将其定义为“已批准”,如果它们构成安全隐患,则将其阻止执行。

我们的用户规范如下所示:

%sysadmins      ALL =  PASSWD: ALL, NOPASSWD: SERVICES, FILE_READING, !/bin/su

问题:执行sudo配置了的命令后,如何进行审核(最好通过电子邮件,但日志可以审核)PASSWD


您可能需要考虑集中式日志报告,并使用Logstash或Splunk之类的工具。使捕获这些事件更加容易,并集中了警报/审核方面。如果您要监视的端点数量越来越多,那就值得做。
jeffatrackaid 2011年

Answers:


11

每次调用sudo时,它会将执行的命令记录到syslog中,因此建议您仅安装logwatch。默认情况下,它带有用于解析sudo条目的过滤器/聚合器,并且可以通过电子邮件向您发送每日报告。

您可能需要编写一个自定义logwatch过滤器以区分两组不同的命令。

如果您需要即时通知sudo命令,则可以将邮件输出模块与rsyslog一起使用。您将需要应用过滤器,以便仅将sudo消息发送到此模块,以免您早上醒来时收件箱中有1万条消息。


要进行进一步的审核,还请查看:linux.die.net/man/8/auditd
JMW

0

就像ErikA所说的那样,sudo已经记录了运行的所有内容。您还可以安装Splunk,并且(如果使用付费版本的话)有一个警报,在看到sudo消息时会通过电子邮件发送给您。仅凭此一项可能就不值得获得许可,但是如果您已经拥有或正在考虑,则可以轻松解决。


0

通常,所有这些事件都记录到“ /var/log/auth.log”中

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.