linux中配置sudo.log

最新推荐文章于 2023-03-02 18:22:27 发布
转载 最新推荐文章于 2023-03-02 18:22:27 发布 · 950 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/dotagg/p/6363999.html
文章标签:

#shell #操作系统

一 记录sudo操作
1 创建sudo日志文件,并配置/etc/logrotate.d/syslog定期切割该文件(添加sudo log路径)
我们将sudo日志文件放置在 /var/log/sudo.log 文件中:
  $ sudo touch /var/log/sudo.log
2在/etc/sudoers或/etc/sudoers.d/dataops(视具体情况) 加入下面一行:
  Defaults    logfile=/var/log/sudo.log

ps:如果要通知到soc则操作如下
修改 /etc/rsyslog.conf添加如下行(有些系统名为/etc/syslog.conf)并重启  rsyslog service
  local2.debug    /var/log/sudo.log    #空白不能用空格,必须用tab

转载于:https://www.cnblogs.com/dotagg/p/6363999.html

Centos sudo log管理
ifeng
09-02 391
文章目录1 创建sudo日志追踪1.1 创建sudo.log 文件1.2 配置/etc/rsyslog.conf1.3 配置/etc/ sudoers1.4 重启syslog服务1.5 确定进程1.6 查看log2 创建用户2.2 授权 1 创建sudo日志追踪 1.1 创建sudo.log 文件 touch /var/log/sudo.log 1.2 配置/etc/rsyslog.conf local2.debug /var/log/sudo.log #空白处不能用空格键,必需用tab键 1.3 配
linux 添加sudoer,sudoer的使用
weixin_42524401的博客
05-03 3672
sudoer文件的配置和使用sudolinux下常用的允许普通用户使用超级用户权限的工具,允许系统管理员让普通用户执行一些或者全部的root命令,如halt,reboot,su等等。这样不仅减少了root用户的登陆和管理时间,同样也提高了安全性。Sudo不是对shell的一个代替,它是面向每个命令的。一、该命令的主要特点:1.sudo能够限制用户只在某台主机上运行某些命令。2.sudo提供了丰...
sudo日志文件跟踪
weixin_33924770的博客
12-15 166
由于管理的服务器不多,而且都是我一个人管,但公司发展越来越快,服务器也越来越多,人手也添加了,但不能一直都用root账号人手一份,为了安全和管理控制,决定部署sudosudo默认安装在系统里,配置日志文件跟踪的时候遇到问题,无论怎么操作,就是不能写入sudo日志。参考了网上的N多文章 ,都不能解决问题,其中的奥秘就在于他们都省略了一步。所以部署东西,最好还是先看官...
sudo使用及日志添加
新路的专栏
05-20 8119
充分发挥 sudo 的作用 简介 系统管理员可以通过 sudo 实用程序让用户或组能够作为另一个用户运行命令。换句话说,可以分派命令特权,而不需要另一个用户的密码。root 用户通过在 /etc/sudoers 文件中设置 sudo 条目完成这个过程。使用 visudo 命令编辑此文件。在分派特权时,必须相信得到特权的用户会慎重地使用它。这里要澄清一个误解:sudo 不仅用于让用户作为 roo
Linux 系统安全及应用(账号安全和引导登录控制)
zhangchang3的博客
03-02 915
明文密码 PAM
linux sudo 日志,Ubuntu Linux sudo日志记录配置
weixin_30029951的博客
05-07 449
环境:Ubuntu 12.04 server。sudo权限分配使用visudo来管理。示例在/usr/share/doc/sudo/examples/sample.sudoers下有。因为Ubuntu 12.04中使用的是rsyslog(Remote System Log),是syslog的升级版,但是使用方法跟syslog相同,在网上找到的很多资料都说修改/etc/syslog.conf文件(这...
Ubuntu Linux sudo日志记录配置
云原生社区博客分享
11-01 3136
linux sudo日志记录用户动作。
sudo 操作日志生成
qq_21193587的博客
11-28 654
在上一篇文章学习了sudo 权限的设置 但有时出于安全或做为审计,追责,可能会有对操作能有一个记录。这样这样一个应用场景就形成了。这个实现也很简单。cp /etc/sudoers /etc/sudoers.bak #备份 #这是把操作记录 到/var/log/sudo.log echo "Defaults logfile=/var/log/sudo.log" >> /etc/sudoers
linux启用sudo管理员登录日志
qq_17576885的博客
12-29 1664
说明 启用sudo日志可以审计用户在使用sudo时执行了什么命令等相关信息。 检查方法 1)在终端中输入命令: [test@localhost ~]$ sudo visudo 2)检查是否存在Defaults logfile一行 修改建议 开启sudo日志需要执行以下操作: 1)创建sudo.log文件 [test@localhost ~]$ touch /var/log/sudo.log 2)修改文件权限 [test@localhost ~]$ chmod root:root /var/log/sudo.
查看sudo的history:配置sudolog
随意随缘
11-15 1471
1
企业案例:配置sudo命令用户行为日志审计
一个好知识的传播者
10-23 596
root@chensiqi1 ~]# echo "local2.debug /var/log/sudo.log" >> /etc/rsyslog.conf #这里可以不配。增加配置“Defaults logfile=/var/log/sudo.log”到/etc/sudoers中,注意:不包含引号。提示:下面的3),4)可以不执行,直接切换到普通操作,然后查看/var/log/sudo.log有无记录。方法二:sudo配合rsyslog服务,进行日志审计(审计信息较少,效果不错)
配置sudo命令用户行为日志审计
m0_68622213的博客
05-25 731
所谓日志审计就是通过sudo和日志服务rsyslog(centos5 是 syslog)的配合使用,记录用户使用sudo命令的日志。具体方法如下: 1. 确认rsyslog (syslog) 服务已开启,查询一下服务的状态 [root@192 ~]# service rsyslog status rsyslogd (pid 908) 正在运行... 2. 在/etc/sudoers 配置文件中加入一个 sudo命令记录的日志文件 [root@192 ~]# echo 'Defaulst log..
linux sudo 日志,linuxsudo增添日志文件
weixin_31735943的博客
05-07 424
一、配置建立sudo日志文件touch /var/log/sudo.log修改/etc/rsyslog.conf配置文件(centos5中为syslog.conf)local2.debug /var/log/sudo.log #空白处不能用空格键,必需用tab键修改/etc/sudoers配置文件注:不要手动修改配置文件 ,用visudo命令修改,好处是修改出错,保存会弹出错误提示信息,方便...
Linux 中设置 sudo 的十条 sudoers 实用配置
weixin_33997389的博客
05-27 168
Linux 和其他的类 Unix 操作系统中,只有 root 用户可以运行所有的命令,才能在系统中执行那些需要鉴权的操作,比如安装、升级和移除软件包、创建用户和用户组、修改系统重要的配置文件等等。 然而,系统管理员,比如说 root 用户,可以通过sudo 命令和一些配置选项来给普通用户进行授权,从而让该普通用户可以运行某些命令已经上述的那些相当...
第二十一天-linux用户行为日志审计方案
weixin_30399871的博客
12-03 670
今日笔记:我们今天要学习的是:sudo日志审计,专门对使用sudo命令的系统用户记录其执行的命令相关信息。 说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录,那些执行sudo命令的用户的操作。 1、安装sudo命令,syslog服务(centos6.4为rsyslog服务) [xiaorui@lrz ~]$ rpm -qa|egrep "sudo|syslog" r...
centos中添加sudo用户和日志
judwenwen2009的专栏
06-06 5254
一、背景 linux中root账户权限过大,几乎可以做任何事情,因此我们不应该使用root账户进行日常工作。 linux系统安全的思想就是提供最小的权限供用户完成操作。 使用普通账户时,有时又会遇到权限问题,此时需要提权操作,即以root权限执行命令。sudo不需要root密码, 就能以root权限执行。 二、sudo配置 在centos中,默认配置下普通账户无法使用sudo命令的
Linux下/ar/log目錄下日誌文件功能
weixin_34241036的博客
03-06 538
如果愿意在Linux环境方面花费些时间,首先就应该知道日志文件的所在位置以及它们包含的内容。在系统运行正常的情况下学习了解这些不同的日志文件有助于你在遇到紧急情况时从容找出问题并加以解决。 以下介绍的是20个位于/var/log/ 目录之下的日志文件。其中一些只有特定版本采用,如dpkg.log只能在基于Debian的系统中看到。 /var/log/messages —...
开启sudo日志,并验证查看
黑司机墨寒
06-20 3144
vim /etc/sudoers 进入sudoers 相关配置Defaults logfile=/var/log/sudo //定义日志记录并指定存储位置Sudo  文件是自动生成  日志大部分都是自动生成用第二个账户 使用速度命令 跟踪产看 sudo日志 就是刚才设置的sudo 存放位置 tail -f /var/log/sudo ...
linux kali为什么没有auth.log
最新发布
07-15
<think>嗯,用户询问了Kali Linux系统中auth.log文件缺失的问题。首先需要理解用户的核心需求:用户可能在使用Kali时发现本该存在的日志文件不见了,这会影响安全审计或取证工作。 从系统机制来看,auth.log通常由rsyslog服务生成,用于记录认证日志。Kali默认使用systemd-journald,但传统上仍会通过rsyslog输出到auth.log。用户可能遇到两种情况:文件被意外删除或服务未运行。 参考用户提供的引用材料,其中提到删除auth.log的操作[^1],暗示用户可能接触过相关操作指导。需要排除用户是否误操作删除了文件。同时引用[2]提到的系统升级问题也值得考虑,大版本升级可能导致配置重置。 解决方案需要分层次:首先检查rsyslog服务状态,这是最直接的排查点。若服务正常,则检查目录权限和磁盘空间。考虑到Kali用户常进行渗透测试,还要提示selinux/apparmor的影响。最后给出重建日志的完整命令流,包括服务重启和权限设置。 用户可能还隐含想知道如何避免再次丢失日志,所以补充了日志轮转配置的建议。最后的问题设计覆盖了日志管理、系统加固和替代方案,帮助用户深入理解Linux认证日志体系。</think>Kali Linux 系统中 `auth.log` 文件缺失通常有以下原因及解决方法: ### 原因分析 1. **日志服务未运行** Kali 默认使用 `rsyslog` 或 `systemd-journald` 管理日志。若 `rsyslog` 未启用,则不会生成 `auth.log`。 **检查命令**: ```bash systemctl status rsyslog ``` 2. **配置错误** `/etc/rsyslog.conf` 中可能未启用 `auth` 日志记录,或路径被修改。 **关键配置项**: ``` auth,authpriv.* /var/log/auth.log ``` 3. **文件被手动删除** 用户可能执行了类似 `rm /var/log/auth.log` 的操作清理痕迹(如引用[^1]所述场景)。 4. **磁盘空间不足** 日志写入失败可能导致文件消失(需检查 `df -h`)。 --- ### 解决方案 #### 1. 启动日志服务 ```bash sudo systemctl start rsyslog sudo systemctl enable rsyslog # 设置开机自启 ``` #### 2. 检查配置文件 编辑 `/etc/rsyslog.conf`,确保包含以下行: ``` auth,authpriv.* /var/log/auth.log ``` 保存后重启服务: ```bash sudo systemctl restart rsyslog ``` #### 3. 重建日志文件(若被删除) ```bash sudo touch /var/log/auth.log sudo chown syslog:adm /var/log/auth.log # 修复权限 sudo chmod 640 /var/log/auth.log sudo systemctl restart rsyslog ``` #### 4. 检查日志轮转配置 确认 `/etc/logrotate.d/rsyslog` 包含 `auth.log` 的轮转规则: ``` /var/log/auth.log { rotate 4 weekly missingok notifempty compress delaycompress sharedscripts postrotate /usr/lib/rsyslog/rsyslog-rotate endscript } ``` --- ### 验证与调试 - **实时监控日志**: ```bash sudo tail -f /var/log/auth.log ``` - **测试日志生成**: 执行 `sudo su` 或 `ssh localhost` 触发认证事件。 - **查看系统日志**: ```bash journalctl -u rsyslog --no-pager # 检查rsyslog自身错误 ``` > **注意**:若使用 `systemd-journald` 作为主要日志系统,可通过 `journalctl -u sshd` 查看认证日志,但传统工具(如fail2ban)仍依赖 `auth.log`。 --- ### 预防措施 1. 定期备份日志配置: ```bash sudo cp /etc/rsyslog.conf /etc/rsyslog.conf.bak ``` 2. 启用日志监控工具(如 `logwatch` 或 `auditd`)。 3. 避免直接删除日志文件,使用 `> auth.log` 清空内容而非删除实体文件。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值