Изолируем сообщения sudo через syslog-ng в Ubuntu 10.10

Posted by

Перед нами стоит задача, переводить все сообщения при использовании команды в другой конфигурационный файл через сервис обработки логов системы Ubuntu 10.10 и проводить логирование с целью предупреждения возможных действий.

Для этого нам понадобиться установить в систему пакет syslogng, ставить будем из репозитариев:

keiz@vkeiz:~$ sudo aptitude install

[sudo] password for keiz:

The following NEW packages will be installed:

libdbi0{a} libevtlog0{a} libnet1{a} syslog-ng{b}

0 packages upgraded, 4 newly installed, 0 to remove and 383 not upgraded.

Need to get 427kB of archives. After unpacking 1,135kB will be used.

The following packages have unmet dependencies:

syslog-ng: Conflicts: linux-kernel-log-daemon which is a virtual package.

Conflicts: system-log-daemon which is a virtual package.

rsyslog: Conflicts: linux-kernel-log-daemon which is a virtual package.

Conflicts: system-log-daemon which is a virtual package.

The following actions will resolve these dependencies:

Remove the following packages:

1)     rsyslog

2)     ubuntu-minimal

Accept this solution? [Y/n/q/?] Y

The following NEW packages will be installed:

libdbi0{a} libevtlog0{a} libnet1{a} syslog-ng

The following packages will be REMOVED:

rsyslog{a} ubuntu-minimal{a}

0 packages upgraded, 4 newly installed, 2 to remove and 383 not upgraded.

Need to get 427kB of archives. After unpacking 344kB will be used.

Do you want to continue? [Y/n/?] Y

Get:1 http://us.archive.ubuntu.com/ubuntu/ maverick-updates/main libdbi0 i386 0.8.3-0ubuntu1.1 [46.7kB]

Get:2 http://us.archive.ubuntu.com/ubuntu/ maverick/universe libnet1 i386 1.1.4-2 [58.2kB]

Get:3 http://us.archive.ubuntu.com/ubuntu/ maverick/universe libevtlog0 i386 0.2.8~1-2 [8,570B]

Get:4 http://us.archive.ubuntu.com/ubuntu/ maverick/universe syslog-ng i386 3.1.2-1 [314kB]

Fetched 427kB in 2s (182kB/s)

(Reading database … 118496 files and directories currently installed.)

Removing ubuntu-minimal …

Removing rsyslog …

rsyslog stop/waiting

Processing triggers for man-db …

Processing triggers for ureadahead …

ureadahead will be reprofiled on next reboot

Selecting previously deselected package libdbi0.

(Reading database … 118467 files and directories currently installed.)

Unpacking libdbi0 (from …/libdbi0_0.8.3-0ubuntu1.1_i386.deb) …

Selecting previously deselected package libnet1.

Unpacking libnet1 (from …/libnet1_1.1.4-2_i386.deb) …

Selecting previously deselected package libevtlog0.

Unpacking libevtlog0 (from …/libevtlog0_0.2.8~1-2_i386.deb) …

Selecting previously deselected package syslog-ng.

Unpacking syslog-ng (from …/syslog-ng_3.1.2-1_i386.deb) …

Processing triggers for man-db …

Processing triggers for ureadahead …

Setting up libdbi0 (0.8.3-0ubuntu1.1) …

Setting up libnet1 (1.1.4-2) …

Setting up libevtlog0 (0.2.8~1-2) …

Setting up syslog-ng (3.1.2-1) …

* Starting system logging syslog-ng                                     [ OK ]

Processing triggers for libc-bin …

ldconfig deferred processing now taking place

 

Cоздадим резервную копию конфигурационного файла:

keiz@vkeiz:~$ sudo cp /etc/syslog-ng/syslog-ng.conf /etc/syslog-ng/syslog-ng.conf.backup

 

Настроим логирование использование команды sudo через конфигурационный файл syslogng.conf:

keiz@vkeiz:~$ sudo touch /var/log/sudo.log

keiz@vkeiz:~$ sudo nano /etc/syslog-ng/syslog-ng.conf

# setup destination

destination d_sudo { file(«/var/log/sudo.log» ); };

# filter all messages, on the «program» field.

filter f_sudo { program(«^sudo$»); };

# if the filter matches write to our new destination.

log { source(s_src); filter(f_sudo); destination(d_sudo); };

 

Чтобы изменения применились перезагружаем сервис syslogng:

keiz@vkeiz:~$ sudo /etc/init.d/syslog-ng restart

* Stopping system logging syslog-ng                                     [ OK ]

* Starting system logging syslog-ng                                     [ OK ]

 

Теперь проверим, как всё это работает. В другом терминале запустим

keiz@vkeiz:~$ sudo ifconfig – для отображения настроек сети, после посмотрим какие события записываются в предопределённый журнал /var/log/sudo.log

результат представлен на скриншоте ниже.

Аудит действий выполняемых с применением sudo.

 

 

 

Как видим результат впечатляющий. Логирование действий с использование sudo отрабатывает. На этом всё, удачи!!!

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *

девять − 2 =