Linux安全设置之——审计sudo日志

通过以下简单的几步就可以实现对所有用户执行sudo命令的记录

1、通过visudo命令编辑sudo的配置文件，然后添加一行

defaults    logfile=/var/log/sudo.log

defaults是指默认所有的操作 

2、对rsyslog的配置文件进行修改，配置文件路径在/etc/rsyslog.conf (如果是centos5.x的话则是syslog而不是rsyslog)，添加一行：

local[1-7].debug            /var/log/sudu.log

3、重启rsyslog服务，重启成功后会自动创建出一个/var/log/sudu.log的文件出来。

4、可以看到刚创建出来的日志文件是0字节的大小，我们随便切换一个用户执行sudo命令后，日志文件大小发生了变化，再查看详细的内容，可以看到有用户通过sudo所执行的命令

总结：设置该审计方案后，凡是用sudo执行的命令都会被记录到自定义的日志文件中，而非sudo的操作则不会记录，这样非常方便查看