用户权限集中管理--用户行为日志审计管理方案

禁止root用户SSH登录

vim /etc/ssh/sshd_config

UseDNS no
PermitRootLogin no
#AddressFamily inet
#SyslogFacility AUTHPRIV
#PasswordAuthentication yes

service sshd restart

一、用户权限集中管理
编辑/etc/sudoers文件把Defaults env_reset改成Defaults !env_reset
1、设计2个组

开发人员权限
/usr/bin/tail /app*,/bin/grep /app*,/bin/cat
运维人员权限
/usr/bin/free,/usr/bin/top,/bin/hostname,/sbin/ifconfig,/bin/netstat,/sbin/route,/bin/ls,/sbin/iptables,/bin/kill,/usr/bin/killall,/bin/rpm,/usr/bin/yum,/sbin/fdisk,/sbin/sfdisk,/bin/mount,/bin/umount,/bin/sh,/usr/bin/python

#,/usr/bin/tail,/bin/grep,/bin/cat

2、模拟创建用户角色

创建1个开发，1个运维，密码统一是123456
groupadd -g 998 kf
groupadd -g 999 yw
for name in kf yw
do
  useradd -g $name $name 
  echo "123456" | passwd --stdin $name
done

tail -3 /etc/passwd

3、定义命令和命令地路径。命令一定要使用绝对路径，避免其他目录的同名命令被执行，造成安全隐患 ,因此使用的时候也是使用绝对路径!

chmod go-x /usr/bin/python
visudo
Cmnd_Alias KF_CMD=/usr/bin/tail /app*,/bin/grep /app*,/bin/cat
Cmnd_Alias YW_CMD=/usr/bin/free,/usr/bin/top,/bin/hostname,/sbin/ifconfig,/bin/netstat,/sbin/route,/bin/ls,/sbin/iptables,/bin/kill,/usr/bin/killall,/bin/rpm,/usr/bin/yum,/sbin/fdisk,/sbin/sfdisk,/bin/mount,/bin/umount,/bin/sh,/usr/bin/python

#用户别名
User_Alias KAIFA = kf
User_Alias YUNWEI = %yw #整个运维组的账户

Runas_Alias OP = root

#pri config
KAIFA ALL=(OP) KF_CMD
YUNWEI ALL=(OP) YW_CMD

二、用户行为日志审计管理
sudo配合syslog服务，进行日志审计（信息量少）
1、配置/etc/sudoers

rpm -qa|egrep "sudo|rsyslog"

#Defaults@SERVER  log_host,logfile=/var/log/sudo.log #配置日志纪录到主机SERVER的/var/log/sudo.log文件
#配置日志纪录到/var/log/sudo.log文件
echo "Defaults logfile=/var/log/sudo.log" >>/etc/sudoers
tail -l /etc/sudoers
visudo -c  #检查sudoers文件语法

2、配置系统日志/etc/rsyslog.conf

#在/etc/rsyslog.conf中增加设备local2，打印级别是debug，将我们执行的命令通过rsyslog记录到/var/log/sudo.log中
echo "local2.debug /var/log/sudo.log" >>/etc/rsyslog.conf
#查看配置结果
tail -l /etc/rsyslog.conf
#重启服务
/etc/init.d/rsyslog restart
#查看是否生成，权限600，确保只有root能看
ll /var/log/sudo.log
切换用户测试

三、记录登录用户的数据

/var/log/useraudit.log文件记录登录用户的时间，来源IP，以及在系统中运行了什么命令。
#vi /etc/profile
在最后添加下面内容：
export HISTORY_FILE=/var/log/useraudit.log
export PROMPT_COMMAND='{ h=`history 1`;w=`who am i`;echo -e $(date "+%Y-%m-%d %H:%M:%S") --- $w ---$h;} >> $HISTORY_FILE'
然后执行命令：
touch /var/log/useraudit.log
chmod 777 /var/log/useraudit.log
chattr +a /var/log/useraudit.log

##让普通用户具备sudo功能

vi /etc/sudoers
userA ALL=(ALL) ALL

vim /etc/inittab #修改启动级别
chkconfig iptables --list
chkconfig iptables stop