我最近开始研究 sudo,我正在尝试探索和理解 sudo 日志记录的不同方面 - I/O 和审计。
我在 Red hat linux 6.7 上使用 sudo 1.8.22 包。是否sudo以二进制格式写入任何日志;如果是
- 哪些日志是以二进制形式写入的?
- sudo 是哪个版本?
- 这种情况是否只发生在特定风格的 UNIX 操作系统上——rhel、aix、debian?
在 RHEL 和 sudo 1.8.22 上为我生成的 sudo I/O 日志似乎是 ascii/文本格式,而不是二进制格式。
答案1
不只sudo记录为 ASCII。
就 而言,我知道的唯一额外的事情sudo是启用log_input和 ,log_output它除了按照命令执行操作之外什么也不script做,并捕获传递到的命令sudo及其输出并记录这些内容。
有关这些内容的参考,请参阅标题为的 U&L Q&A:如何在“sudo su -”中记录命令?。
对于您可能更想要的额外日志记录,我会看auditd一下。它可以相当广泛地记录 Linux 节点上发生的情况。
替代方案,如果您有兴趣...
除此之外还有sudo其他选择 -https://www.sudo.ws/other.html开源和商业。我没有对其中的许多内容进行过修改,除了 Centrify(商业版),它提供了一个替代工具sudo,称为dzdo.它具有集中式日志记录和策略等,可以跨 Linux 节点群进行管理。
我见过的最接近dzdo开源的东西是免费IPA集中管理sudo策略和日志记录。