记录管理员在生产服务器上运行的所有命令

管理员通过个人用户名登录服务器，然后运行sudo -i成为root 用户是公司的公司政策。在运行时sudo -i，sudo将创建一个名为的环境变量SUDO_USER，其中包含原始用户的用户名。

是否可以使用类似于以下语法的方式在syslog中记录所有命令：

${TIME/DATE STAMP}: [${REAL_USER}|${SUDO_USER}]: ${CMD}

一个示例条目为：

Sat Jan 19 22:28:46 CST 2013: [root|ksoviero]: yum install random-pkg

显然，它不必完全是上面的语法，它只需要包含最少的实际用户（例如root），sudo用户（例如ksoviero）和运行的完整命令（例如yum）。安装random-pkg）。

我已经尝试过了snoopy，但是没有包含SUDO_USER变量。

更新：评论和后续问题中又弹出了2件事：

• 使用auditd这种方式将大大增加您的日志量，尤其是在通过命令行大量使用该系统的情况下。调整您的日志保留策略。
• Auditd创建它们的主机上的日志与同一框中的其他文件一样安全。将您的日志转发到远程日志收集服务器，例如ELK或Graylog，以保持日志的完整性。另外，添加到以上几点，它可以更积极地删除旧日志。

正如迈克尔·汉普顿（Michael Hampton）所建议的那样，auditd是这里工作的正确工具。

我在Ubuntu 12.10安装上对此进行了测试，因此您在其他系统上的使用情况可能会有所不同。

• 安装auditd：

  apt-get install auditd

• 将这两行添加到/etc/audit/audit.rules：

  -a退出，始终-F arch = b64 -F euid = 0 -S execve
  -a退出，始终-F arch = b32 -F euid = 0 -S execve

这些将跟踪由root（euid=0）运行的所有命令。为什么要有两个规则？的execve系统调用必须在32位和64位代码进行跟踪。

• 要清除auid=4294967295日志中的消息，请添加audit=1到内核​​的cmdline（通过编辑/etc/default/grub）

• 放置线

  session required pam_loginuid.so

在所有与login（/etc/pam.d/{login,kdm,sshd}）相关的PAM配置文件中，但不在与su或相关的文件中sudo。这样可以在致电或时正确auditd获取主叫用户。uidsudosu

• 立即重新启动系统。

• 让我们登录并运行一些命令：

    $ id -u
    1000
    $ sudo ls /
    bin引导数据开发人员等home initrd.img initrd.img.old lib lib32 lib64
    $ sudo su-
    ＃ls / etc
    [...]

这将在中产生如下内容/var/log/audit/auditd.log：

----
time->Mon Feb  4 09:57:06 2013
type=PATH msg=audit(1359968226.239:576): item=1 name=(null) inode=668682 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1359968226.239:576): item=0 name="/bin/ls" inode=2117 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1359968226.239:576):  cwd="/home/user"
type=EXECVE msg=audit(1359968226.239:576): argc=2 a0="ls" a1="/"
type=SYSCALL msg=audit(1359968226.239:576): arch=c000003e syscall=59 success=yes exit=0 a0=10cfc48 a1=10d07c8 a2=10d5750 a3=7fff2eb2d1f0 items=2 ppid=26569 pid=26570 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1 comm="ls" exe="/bin/ls" key=(null)
----
time->Mon Feb  4 09:57:06 2013
type=PATH msg=audit(1359968226.231:575): item=1 name=(null) inode=668682 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1359968226.231:575): item=0 name="/usr/bin/sudo" inode=530900 dev=08:01 mode=0104755 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1359968226.231:575):  cwd="/home/user"
type=BPRM_FCAPS msg=audit(1359968226.231:575): fver=0 fp=0000000000000000 fi=0000000000000000 fe=0 old_pp=0000000000000000 old_pi=0000000000000000 old_pe=0000000000000000 new_pp=ffffffffffffffff new_pi=0000000000000000 new_pe=ffffffffffffffff
type=EXECVE msg=audit(1359968226.231:575): argc=3 a0="sudo" a1="ls" a2="/"
type=SYSCALL msg=audit(1359968226.231:575): arch=c000003e syscall=59 success=yes exit=0 a0=7fff327ecab0 a1=7fd330e1b958 a2=17cc8d0 a3=7fff327ec670 items=2 ppid=3933 pid=26569 auid=1000 uid=1000 gid=1000 euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=1 comm="sudo" exe="/usr/bin/sudo" key=(null)
----
time->Mon Feb  4 09:57:09 2013
type=PATH msg=audit(1359968229.523:578): item=1 name=(null) inode=668682 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1359968229.523:578): item=0 name="/bin/su" inode=44 dev=08:01 mode=0104755 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1359968229.523:578):  cwd="/home/user"
type=EXECVE msg=audit(1359968229.523:578): argc=2 a0="su" a1="-"
type=SYSCALL msg=audit(1359968229.523:578): arch=c000003e syscall=59 success=yes exit=0 a0=1ceec48 a1=1cef7c8 a2=1cf4750 a3=7fff083bd920 items=2 ppid=26611 pid=26612 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1 comm="su" exe="/bin/su" key=(null)
----
time->Mon Feb  4 09:57:09 2013
type=PATH msg=audit(1359968229.519:577): item=1 name=(null) inode=668682 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1359968229.519:577): item=0 name="/usr/bin/sudo" inode=530900 dev=08:01 mode=0104755 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1359968229.519:577):  cwd="/home/user"
type=BPRM_FCAPS msg=audit(1359968229.519:577): fver=0 fp=0000000000000000 fi=0000000000000000 fe=0 old_pp=0000000000000000 old_pi=0000000000000000 old_pe=0000000000000000 new_pp=ffffffffffffffff new_pi=0000000000000000 new_pe=ffffffffffffffff
type=EXECVE msg=audit(1359968229.519:577): argc=3 a0="sudo" a1="su" a2="-"
type=SYSCALL msg=audit(1359968229.519:577): arch=c000003e syscall=59 success=yes exit=0 a0=7fff327ecab0 a1=7fd330e1b958 a2=17cc8d0 a3=7fff327ec670 items=2 ppid=3933 pid=26611 auid=1000 uid=1000 gid=1000 euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=1 comm="sudo" exe="/usr/bin/sudo" key=(null)
----
time->Mon Feb  4 09:57:09 2013
type=PATH msg=audit(1359968229.543:585): item=1 name=(null) inode=668682 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1359968229.543:585): item=0 name="/bin/bash" inode=6941 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1359968229.543:585):  cwd="/root"
type=EXECVE msg=audit(1359968229.543:585): argc=1 a0="-su"
type=SYSCALL msg=audit(1359968229.543:585): arch=c000003e syscall=59 success=yes exit=0 a0=13695a0 a1=7fffce08a3e0 a2=135a030 a3=7fffce08c200 items=2 ppid=26612 pid=26622 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1 comm="bash" exe="/bin/bash" key=(null)
----
time->Mon Feb  4 09:57:11 2013
type=PATH msg=audit(1359968231.663:594): item=1 name=(null) inode=668682 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1359968231.663:594): item=0 name="/bin/ls" inode=2117 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1359968231.663:594):  cwd="/root"
type=EXECVE msg=audit(1359968231.663:594): argc=3 a0="ls" a1="--color=auto" a2="/etc"
type=SYSCALL msg=audit(1359968231.663:594): arch=c000003e syscall=59 success=yes exit=0 a0=7fff8c709950 a1=7f91a12149d8 a2=1194c50 a3=7fff8c709510 items=2 ppid=26622 pid=26661 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1 comm="ls" exe="/bin/ls" key=(null)

该auid列包含调用用户的uid，可让您过滤此用户运行的命令，并使用

 ausearch -ua 1000

这甚至会列出用户以root用户身份运行的命令。

资料来源：

• http://www.woitasen.com.ar/2011/11/auditing-user-actions-after-sudo/
• http://linux.die.net/man/8/pam_loginuid
• http://linux.die.net/man/8/auditd

请记住，sudo本身会将所有sudo命令记录在syslog中，因此，所有受过特权的用户都应该受过教育，不仅要简单地使用sudo来获得root shell，还应该：

sudo command p1 p2 ... pn

我想到的这种方法或任何方法的问题在于，作为root用户，很难阻止用户逃避任何特定类型的日志记录。因此，您尝试执行的任何操作都会<100％，抱歉。

教育，文件编制，执行以及最重要的信任是必须的。

我曾经遇到过同样的问题，不得不提出一种快速而肮脏的解决方案-每个sudo用户在运行命令后都会拥有自己的历史记录文件 sudo -i

在/root/.bashrc我添加以下行-

 export HISTFILE=/root/.bash_history-$SUDO_USER
 export HISTTIMEFORMAT="%F %T "

因此，每位root用户的用户都将拥有一个历史文件.bash_history-username。

另一种方法-

将以下代码添加到/root/.bashrc，它将用户名，sudo-user和命令附加到日志文件（无论是否设置了通知级别），很可能是/ var / log / messages。

function log2syslog
{
   declare COMMAND
   COMMAND=$(fc -ln -0)
   logger -p local1.notice -t bash -i -- "${USER}:${SUDO_USER}:${COMMAND}"
}
trap log2syslog DEBUG

感谢- http://backdrift.org/logging-bash-history-to-syslog-using-traps

实际上，许多机构禁止使用auditd，因为它占用大量资源，并且可能导致拒绝服务攻击的机会。

一种解决方案是配置最新的Korn Shell（ksh-93，有关详细信息，请参见http://kornshell.com/）以将所有以root身份执行的命令记录到远程syslog服务器，然后根据策略要求（紧急情况除外）在这种情况下，系统管理员使用个人帐户登录并通过sudo执行增强的Korn Shell。日志检查可以检测管理员何时从批准的外壳启动另一个外壳以覆盖其踪迹，然后可以根据需要对SA进行培训。

记录启用的会话时，Sudo具有一种称为sudoreplay的东西，以后可以重播，其工作原理类似于script创建终端会话打字稿的命令，此后可以使用该scriptreplay命令重播。

从2.0.0版开始，snoopy可以记录任意环境变量。

但是，最近的贡献指出，日志记录tty的所有者是“谁以root身份执行该命令”问题的相当有效且优雅的答案。

披露：我是史努比的维护者。

到目前为止，其他所有答案并没有什么问题，但是，如果您认为sudo通过进行日志记录syslog令人满意，那么我是否可以建议您：通过网络将其记录到远程审核主机。

可以解决“现在我已经成为root用户，可以从日志中删除任何渎职痕迹”的问题了。您现在可能是root用户，但您无法从网络中回叫该日志包，并且（大概）您在远程审核主机上没有root特权。

多年来，我一直在我管理的某些网络中执行此操作，它还具有其他两个信号优势：

首先，网络上有一个地方可以检查所有系统日志，这使事件的关联更加容易，因此，一站式商店可以进行调查，例如“当juno抱怨NFS服务器hera没有响应时，还有其他人抱怨吗？同时发生相同的事情吗？如果是这样，hera很可能是问题所在，让我们看看她记录的内容；如果不是，juno则更怀疑网络连接，然后看看当时还有什么juno记录。”

其次，syslog日志轮换变得更容易：您不会在本地主机上保留日志副本超过几天，但要确保审核服务器具有大量的磁盘空间，并将所有syslog保留在那里几年。另外，例如，如果您要将它们写入WORM介质以进行法医审计，则只需购买一个WORM驱动器。