记录管理员在生产服务器上运行的所有命令

tag-icon tag-icon centos bash logging sudo
记录管理员在生产服务器上运行的所有命令

公司政策规定管理员必须通过个人用户名登录服务器,然后运行sudo -i以成为 root 用户。运行 后sudo -i,sudo 将创建一个名为 的环境变量SUDO_USER,其中包含原始用户的用户名。

有没有办法记录全部syslog 中的命令类似于以下语法:

${TIME/DATE STAMP}: [${REAL_USER}|${SUDO_USER}]: ${CMD}

示例条目如下:

Sat Jan 19 22:28:46 CST 2013: [root|ksoviero]: yum install random-pkg

显然,它不必完全符合上述语法,只需包含最少的真实用户(例如 root)、sudo 用户(例如 ksoviero)和运行的完整命令(例如 yum install random-pkg)。

我已经尝试过了snoopy,但是它没有包含SUDO_USER变量。

答案1

更新:评论和后续问题中又出现了两件事:

  • 使用auditd这种方式将大大增加您的日志量,特别是当系统通过命令行大量使用时。调整您的日志保留策略。
  • Auditd创建主机上的日志与同一台机器上的其他文件一样安全。将日志转发到远程日志收集服务器(如 ELK 或 Graylog)以保护日志的完整性。此外,除了上述观点之外,它还允许更积极地删除旧日志。

正如迈克尔·汉普顿 (Michael Hampton) 所建议的那样,auditd这是这里完成工作的正确工具。

我在 Ubuntu 12.10 安装上进行了测试,因此在其他系统上您的里程可能会有所不同。

  • 安装auditd

    apt-get install auditd

  • 将以下两行添加到/etc/audit/audit.rules

    -a 退出,始终 -F arch=b64 -F euid=0 -S execve
-a 退出,始终 -F arch=b32 -F euid=0 -S execve

这些将跟踪 root 运行的所有命令(euid=0)。为什么有两条规则?execve系统调用必须在 32 位和 64 位代码中跟踪。

  • 要删除auid=4294967295日志中的消息,请添加audit=1到内核的命令行(通过编辑/etc/default/grub

  • 放置线

    session required pam_loginuid.so

在所有与登录 ( ) 相关的 PAM 配置文件中,但不在与或/etc/pam.d/{login,kdm,sshd}相关的文件中。这将允许在调用或时正确获取调用用户。susudoauditduidsudosu

  • 立即重新启动系统。

  • 让我们登录并运行一些命令:

    $ id -u
    1000
    $ sudo ls /
    bin 启动数据 dev etc home initrd.img initrd.img.old lib lib32 lib64 lost+found 媒体 mnt opt proc root 运行 sbin scratch selinux srv sys tmp usr var vmlinuz vmlinuz.old
    $ sudo su -
    # ls /etc
    [...]

这将产生类似这样的结果/var/log/audit/auditd.log

----
time->Mon Feb  4 09:57:06 2013
type=PATH msg=audit(1359968226.239:576): item=1 name=(null) inode=668682 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1359968226.239:576): item=0 name="/bin/ls" inode=2117 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1359968226.239:576):  cwd="/home/user"
type=EXECVE msg=audit(1359968226.239:576): argc=2 a0="ls" a1="/"
type=SYSCALL msg=audit(1359968226.239:576): arch=c000003e syscall=59 success=yes exit=0 a0=10cfc48 a1=10d07c8 a2=10d5750 a3=7fff2eb2d1f0 items=2 ppid=26569 pid=26570 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1 comm="ls" exe="/bin/ls" key=(null)
----
time->Mon Feb  4 09:57:06 2013
type=PATH msg=audit(1359968226.231:575): item=1 name=(null) inode=668682 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1359968226.231:575): item=0 name="/usr/bin/sudo" inode=530900 dev=08:01 mode=0104755 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1359968226.231:575):  cwd="/home/user"
type=BPRM_FCAPS msg=audit(1359968226.231:575): fver=0 fp=0000000000000000 fi=0000000000000000 fe=0 old_pp=0000000000000000 old_pi=0000000000000000 old_pe=0000000000000000 new_pp=ffffffffffffffff new_pi=0000000000000000 new_pe=ffffffffffffffff
type=EXECVE msg=audit(1359968226.231:575): argc=3 a0="sudo" a1="ls" a2="/"
type=SYSCALL msg=audit(1359968226.231:575): arch=c000003e syscall=59 success=yes exit=0 a0=7fff327ecab0 a1=7fd330e1b958 a2=17cc8d0 a3=7fff327ec670 items=2 ppid=3933 pid=26569 auid=1000 uid=1000 gid=1000 euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=1 comm="sudo" exe="/usr/bin/sudo" key=(null)
----
time->Mon Feb  4 09:57:09 2013
type=PATH msg=audit(1359968229.523:578): item=1 name=(null) inode=668682 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1359968229.523:578): item=0 name="/bin/su" inode=44 dev=08:01 mode=0104755 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1359968229.523:578):  cwd="/home/user"
type=EXECVE msg=audit(1359968229.523:578): argc=2 a0="su" a1="-"
type=SYSCALL msg=audit(1359968229.523:578): arch=c000003e syscall=59 success=yes exit=0 a0=1ceec48 a1=1cef7c8 a2=1cf4750 a3=7fff083bd920 items=2 ppid=26611 pid=26612 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1 comm="su" exe="/bin/su" key=(null)
----
time->Mon Feb  4 09:57:09 2013
type=PATH msg=audit(1359968229.519:577): item=1 name=(null) inode=668682 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1359968229.519:577): item=0 name="/usr/bin/sudo" inode=530900 dev=08:01 mode=0104755 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1359968229.519:577):  cwd="/home/user"
type=BPRM_FCAPS msg=audit(1359968229.519:577): fver=0 fp=0000000000000000 fi=0000000000000000 fe=0 old_pp=0000000000000000 old_pi=0000000000000000 old_pe=0000000000000000 new_pp=ffffffffffffffff new_pi=0000000000000000 new_pe=ffffffffffffffff
type=EXECVE msg=audit(1359968229.519:577): argc=3 a0="sudo" a1="su" a2="-"
type=SYSCALL msg=audit(1359968229.519:577): arch=c000003e syscall=59 success=yes exit=0 a0=7fff327ecab0 a1=7fd330e1b958 a2=17cc8d0 a3=7fff327ec670 items=2 ppid=3933 pid=26611 auid=1000 uid=1000 gid=1000 euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=1 comm="sudo" exe="/usr/bin/sudo" key=(null)
----
time->Mon Feb  4 09:57:09 2013
type=PATH msg=audit(1359968229.543:585): item=1 name=(null) inode=668682 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1359968229.543:585): item=0 name="/bin/bash" inode=6941 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1359968229.543:585):  cwd="/root"
type=EXECVE msg=audit(1359968229.543:585): argc=1 a0="-su"
type=SYSCALL msg=audit(1359968229.543:585): arch=c000003e syscall=59 success=yes exit=0 a0=13695a0 a1=7fffce08a3e0 a2=135a030 a3=7fffce08c200 items=2 ppid=26612 pid=26622 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1 comm="bash" exe="/bin/bash" key=(null)
----
time->Mon Feb  4 09:57:11 2013
type=PATH msg=audit(1359968231.663:594): item=1 name=(null) inode=668682 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1359968231.663:594): item=0 name="/bin/ls" inode=2117 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1359968231.663:594):  cwd="/root"
type=EXECVE msg=audit(1359968231.663:594): argc=3 a0="ls" a1="--color=auto" a2="/etc"
type=SYSCALL msg=audit(1359968231.663:594): arch=c000003e syscall=59 success=yes exit=0 a0=7fff8c709950 a1=7f91a12149d8 a2=1194c50 a3=7fff8c709510 items=2 ppid=26622 pid=26661 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1 comm="ls" exe="/bin/ls" key=(null)

auid列包含调用用户的uid,可让您使用以下方式过滤此用户运行的命令

 ausearch -ua 1000

这甚至会列出用户以 root 身份运行的命令。

资料来源:

答案2

请记住,sudo 本身会在系统日志中记录所有 sudo 命令,因此应教育所有特权用户不要简单地使用 sudo 来获取 root shell,而要:

sudo command p1 p2 ... pn

这种方法或我所想到的任何方法的问题在于,作为用户root,很难阻止用户逃避任何特定类型的日志记录。因此,很遗憾,您尝试的任何事情都将<100%。

教育、文件、执行以及最重要的信任都是必需的。

答案3

我曾经遇到过同样的问题,不得不想出一个快速而粗糙的解决方案 - 每个 sudo 用户在运行命令后都会有自己的历史文件sudo -i

/root/.bashrc添加了以下行 -

 export HISTFILE=/root/.bash_history-$SUDO_USER
 export HISTTIMEFORMAT="%F %T "

因此每个通过 sudo 转换为 root 的用户都会有一个历史文件 .bash_history-username。

另一种方法 -

添加以下代码/root/.bashrc,它会将用户名、sudo-user 和命令附加到日志文件,无论设置了通知级别,最有可能是 /var/log/messages。

function log2syslog
{
   declare COMMAND
   COMMAND=$(fc -ln -0)
   logger -p local1.notice -t bash -i -- "${USER}:${SUDO_USER}:${COMMAND}"
}
trap log2syslog DEBUG

归功于 -http://backdrift.org/logging-bash-history-to-syslog-using-traps

答案4

Sudo 有个东西叫苏多雷当启用的会话被记录并可以稍后重播时,其工作方式类似于script制作终端会话打字稿的命令,稍后可以使用该scriptreplay命令重播。

相关内容