文章目录 1 启用 cron 行为日志功能 2 启用 su 命令使用情况记录 3 启用 sudo 命令日志功能 4 配置安全事件日志功能 5 配置安全事件日志功能 6 启动日志和审记服务
1 、检查内容
检查系统是否启用 cron 行为日志功能。
2 、配置要求
系统启用 cron 行为日志功能。
3 、配置方法
编辑/etc/rsyslog.conf 文件,配置 cron.* /var/log/cron
配置检查方法如下:
grep "^cron.* /var/log/cron" /etc/rsyslog.conf
如果上面没输出内容,则表明没用相关配置,进行如下配置:
cp /etc/rsyslog.conf /etc/rsyslog.conf.bak
echo "cron.* /var/log/cron" >> /etc/rsyslog.conf
1 、检查内容
检查系统是否启用 su 命令使用情况记录。
2 、配置要求
系统启用 su 命令使用情况记录。
3 、配置方法
编辑/etc/rsyslog.conf 文件,配置 authpriv.* /var/log/secure
配置检查方法如下:
grep "^authpriv.* /var/log/secure" /etc/rsyslog.conf
如果上面没输出内容,则表明没用相关配置,进行如下配置:
cp /etc/rsyslog.conf /etc/rsyslog.conf.bak
echo " authpriv.* /var/log/secure " >> /etc/rsyslog.conf
1 、检查内容
检查系统是否启用 sudo 命令日志功能。
2 、配置要求
系统启用 sudo 命令日志功能。
3 、配置方法
编辑 etc/sudoers 文件,配置 Defaults logfile = /var/log/sudo.log
配置方法:
echo "Defaults logfile=/var/log/sudo.log" >> /etc/sudoers
1 、检查内容
检查系统是否配置安全事件日志功能。
2 、配置要求
系统配置安全事件日志功能。
3 、配置方法
编辑 etc/rsyslog.conf 文件,配置*.err; kern.debug; daemon.notice /var/adm/messages
配置方法:
echo "*.err;kern.debug;daemon.notice /var/adm/messages" >> /etc/rsyslog.conf
touch /var/adm/messages
1 、检查内容
检查系统是否配置日志文件权限。
2 、配置要求
系统配置日志文件权限。
3 、配置方法
配置日志相关文件的权限
/var/log/messages
/var/log/secure
/var/log/audit/audit.log
/var/log/cron
/var/log/sudo.log
/var/adm/messages
文件的权限查看方法:ls -l 文件名,例如:ls -l /var/log/cron
权限修改方法:chmod 权限值 文件名或目录名,例如:chmod 600 /var/log/cron
配置举例如下:
chmod 600 /var/log/messages
chmod 600 /var/log/secure
chmod 600 /var/log/audit/audit.log
chmod 600 /var/log/cron
chmod 600 /var/log/sudo.log
chmod 600 /var/adm/messages
1 、检查内容
检查系统是否启动日志和审记服务。
2 、配置要求
系统启动日志和审记服务。
3 、配置方法
重启 rsyslog 日志服务和 auditd 审计服务,命令如下:
service rsyslog restart
service auditd restart
查看服务运行状态命令如下:
systemctl status rsyslog
systemctl status auditd
![[创业之路-155] :《领先的密码-BLM方法论全面解读与应用指南》- 综合管理框架](https://i-blog.csdnimg.cn/direct/f4c97d70530748d6b39d4b669429d0fc.png)
