Логирование при работе с sudo

Posted by

В данной заметке я покажу, как добавить логирование при использовании команды с целью понимания, для каких целей делегированные пользователи используют её:

Тестирование проходило на моей исходной системе:

ekzorchik@polygon:~$ uname -a && lsb_release -a

Linux polygon 3.2.0-23-generic #36-Ubuntu SMP Tue Apr 10 20:39:51 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux

No LSB modules are available.

Distributor ID: Ubuntu

Description: LTS

Release: 12.04

Codename: precise

Запускаем консоль командной строки по сочетанию клавиш: Ctrl + Alt + T и добавляем в файл /etc/sudoers следующую строку:

ekzorchik@polygon:~$ sudo nano /etc/sudoers

Defaults logfile=/var/log/sudolog

Сохраняем внесенные изменения и закрываем консоль.

Тестируем:

Снова запускаем консоль командной строки по сочетанию клавиш: Ctrl + Alt + T и, к примеру отобразим файл /etc/passwd:

ekzorchik@polygon:~$ sudo cat /etc/passwd

 

В логе появятся записи следующего вида:

ekzorchik@polygon:~$ sudo tail -f /var/log/sudolog

Mar 4 11:17:06 : ekzorchik : TTY=pts/2 ; PWD=/home/ekzorchik ; USER=root ;

COMMAND=/bin/cat /etc/passwd

Mar 4 11:17:15 : ekzorchik : TTY=pts/0 ; PWD=/home/ekzorchik ; USER=root ;

COMMAND=/usr/bin/tail -f /var/log/sudolog

,что достаточно информативно, текущий пользователь ekzorchik с использованием команды sudo запросил вывод файла /etc/passwd четвертого марта в 11 часов 17 минут.

В случае если неправильно указан пароль на повышение прав, то в логе формируется сообщение вида:

Mar 4 11:24:32 : ekzorchik : 2 incorrect password attempts ; TTY=pts/3 ;

PWD=/home/ekzorchik ; USER=root ; COMMAND=/bin/cat /etc/fstab

Вот собственно и весь процесс аудита за действиями пользователем которым разрешено использовать sudo. На этом всё, удачи!!!

One comment

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *

20 + 10 =