В данной заметке я покажу, как добавить логирование при использовании команды sudo с целью понимания, для каких целей делегированные пользователи используют её:
Тестирование проходило на моей исходной системе:
ekzorchik@polygon:~$ uname -a && lsb_release -a
Linux polygon 3.2.0-23-generic #36-Ubuntu SMP Tue Apr 10 20:39:51 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 12.04 LTS
Release: 12.04
Codename: precise
Запускаем консоль командной строки по сочетанию клавиш: Ctrl + Alt + T и добавляем в файл /etc/sudoers следующую строку:
ekzorchik@polygon:~$ sudo nano /etc/sudoers
Defaults logfile=/var/log/sudolog
Сохраняем внесенные изменения и закрываем консоль.
Тестируем:
Снова запускаем консоль командной строки по сочетанию клавиш: Ctrl + Alt + T и, к примеру отобразим файл /etc/passwd:
ekzorchik@polygon:~$ sudo cat /etc/passwd
В логе появятся записи следующего вида:
ekzorchik@polygon:~$ sudo tail -f /var/log/sudolog
Mar 4 11:17:06 : ekzorchik : TTY=pts/2 ; PWD=/home/ekzorchik ; USER=root ;
COMMAND=/bin/cat /etc/passwd
Mar 4 11:17:15 : ekzorchik : TTY=pts/0 ; PWD=/home/ekzorchik ; USER=root ;
COMMAND=/usr/bin/tail -f /var/log/sudolog
,что достаточно информативно, текущий пользователь ekzorchik с использованием команды sudo запросил вывод файла /etc/passwd четвертого марта в 11 часов 17 минут.
В случае если неправильно указан пароль на повышение прав, то в логе формируется сообщение вида:
Mar 4 11:24:32 : ekzorchik : 2 incorrect password attempts ; TTY=pts/3 ;
PWD=/home/ekzorchik ; USER=root ; COMMAND=/bin/cat /etc/fstab
Вот собственно и весь процесс аудита за действиями пользователем которым разрешено использовать sudo. На этом всё, удачи!!!
Thanks for sharing, this is a fantastic blog.Really thank you! Awesome.