配置sudo记录日志

时间 2020-05-12

标签配置 sudo 记录日志繁體版

原文原文链接

sudo
sudo命令用来以其余身份来执行命令，预设的身份为root。在/etc/sudoers中设置了可执行sudo指令的用户。若其未经受权的用户企图使用sudo，则会发出警告的邮件给管理员。用户使用sudo时，必须先输入密码，以后有5分钟的有效期限，超过时限则必须从新输入密码。vim

编辑/etc/rsyslog.conf文件bash

 
        vim  
        /etc/rsyslog 
        .conf 
       
        #添加一行 
       
        local2.debug                            
        /var/log/sudo 
        .log

编辑 visudoide

 
        #添加3行 
       
        Defaults logfile= 
        /var/log/sudo 
        .log 
       
        Defaults loglinelen=0 
       
        Defaults !syslog

建立日志文件测试

 
        touch  
        /var/log/sudo 
        .log

重启服务debug

systemctl restart rsyslog

测试:
普通用户操做rest

 
          $ sudo  
          cd  
          /root/ 
         
          [ 
          sudo 
          ] password  
          for  
          dev:  
         
          dev is not  
          in  
          the sudoers  
          file 
          .  This incident will be reported.

查看记录日志

 
        $cat  
        /var/log/sudo 
        .log  
       
        Aug 23 10:48:16 : dev : user NOT  
        in  
        sudoers ; TTY=pts 
        /1  
        ; PWD= 
        /home/dev  
        ; USER=root ; COMMAND= 
        /bin/cd  
        /root/