您好,欢迎访问宜昌市隼壹珍商贸有限公司
400 890 5375
您好,欢迎访问宜昌市隼壹珍商贸有限公司
400 890 5375
确认sudo日志已开启并定位日志路径,ubuntu/debian系统日志位于/var/log/auth.log,centos/rhel系列位于/var/log/secure,通过grep命令验证日志内容,并在/etc/sudoers中配置defaults logfile确保日志独立存储;2. 启用详细日志记录,通过在/etc/sudoers中添加defaults log_input, log_output实现命令输入输出的完整记录,日志保存在/
var/log/sudo-io/目录下,可使用sudo sudoreplay回放操作会话;3. 定期审计sudo使用情况,编写自动化脚本提取最近24小时的sudo操作并格式化输出,结合journalctl进行结构化日志分析;4. 将sudo日志接入elk、graylog或splunk等集中日志系统,通过rsyslog或syslog-ng转发日志,创建告警规则检测sudo su频繁切换、非授权用户提权及高风险命令执行;5. 设置异常行为告警,监控夜间提权、非常用命令调用及连续失败尝试,利用fail2ban或inotify实现日志监控与实时告警;关键在于开启详细日志、集中收集、定期分析和异常告警,特别注意log_input/log_output的启用和sudoreplay功能的配置,提前部署可有效规避安全风险。
在系统安全运维中,sudo 日志监控是审计用户提权操作的关键环节。通过有效审计 sudo 操作,可以及时发现越权行为、排查安全事件、满足合规要求。以下是实用的 sudo 日志监控与审计技巧。
默认情况下,sudo 会将操作记录到系统日志中,但具体路径因系统而异:
/var/log/auth.log
/var/log/secure
你可以通过以下命令确认日志内容:
grep "sudo" /var/log/auth.log # 或 grep "sudo" /var/log/secure
确保
/etc/sudoers配置中启用了日志功能。使用
visudo编辑时,检查是否包含:
Defaults logfile = /var/log/sudo.log
这会将 sudo 操作单独记录到指定文件,便于集中审计。
默认 sudo 日志可能只记录“谁执行了 sudo”,但不会记录具体执行的命令。要记录完整命令,需在
/etc/sudoers中添加:
Defaults log_input, log_output
这会记录命令的输入和输出(类似会话录制),日志将保存在
/var/log/sudo-io/目录下,每个会话以时间戳命名。
例如,用户执行:
sudo rm -rf /tmp/test
通过回放可以查看完整操作:
sudo sudoreplay /var/log/sudo-io/00/00/01
这在事故追责和行为分析中非常有用。
可以编写脚本定期提取 sudo 操作信息,便于集中分析。例如:
当前位置: #!/bin/bash
# 提取最近24小时的 sudo 操作
LOG_FILE="/var/log/auth.log"
if grep -i "sudo" "$LOG_FILE" | grep "$(date -d '24 hours ago' '+%b %d')" > /tmp/sudo_audit.txt; then
echo "近期 sudo 操作:"
awk '{print $1,$2,$3,$4,$6,$7,$8}' /tmp/sudo_audit.txt
fi更进一步,可结合
journalctl查看结构化日志:
journalctl | grep sudo
为实现跨主机审计,建议将 sudo 日志接入集中日志平台:
rsyslog或
syslog-ng将
/var/log/secure或
/var/log/auth.log转发到日志服务器
sudo su频繁切换 root
reboot,
shutdown,
rm,
dd)
示例 Splunk 查询:
index=linux_logs sudo | stats count by user, command, host
visudo、
usermod、
passwd被普通用户调用
sudo失败可能是暴力猜解
可通过
fail2ban或自定义脚本结合
inotify监控日志变化并触发告警。
基本上就这些。关键是:开启详细日志 + 集中收集 + 定期分析 + 异常告警。不复杂但容易忽略细节,比如
log_input/log_output的启用和
sudoreplay的使用,往往在出事之后才发现没开。早配置,少背锅。
电子邮箱:
公司地址:宜昌市西陵区黄河路5号三峡明珠10栋1051室