文章目录
- 1 启用 cron 行为日志功能
- 2 启用 su 命令使用情况记录
- 3 启用 sudo 命令日志功能
- 4 配置安全事件日志功能
- 5 配置安全事件日志功能
- 6 启动日志和审记服务
1 启用 cron 行为日志功能
1、检查内容
检查系统是否启用 cron 行为日志功能。
2、配置要求
系统启用 cron 行为日志功能。
3、配置方法
编辑/etc/rsyslog.conf 文件,配置 cron.* /var/log/cron
配置检查方法如下:
grep "^cron.* /var/log/cron" /etc/rsyslog.conf
如果上面没输出内容,则表明没用相关配置,进行如下配置:
cp /etc/rsyslog.conf /etc/rsyslog.conf.bak
echo "cron.* /var/log/cron" >>/etc/rsyslog.conf
2 启用 su 命令使用情况记录
1、检查内容
检查系统是否启用 su 命令使用情况记录。
2、配置要求
系统启用 su 命令使用情况记录。
3、配置方法
编辑/etc/rsyslog.conf 文件,配置 authpriv.* /var/log/secure
配置检查方法如下:
grep "^authpriv.* /var/log/secure" /etc/rsyslog.conf
如果上面没输出内容,则表明没用相关配置,进行如下配置:
cp /etc/rsyslog.conf /etc/rsyslog.conf.bak
echo " authpriv.* /var/log/secure " >>/etc/rsyslog.conf
3 启用 sudo 命令日志功能
1、检查内容
检查系统是否启用 sudo 命令日志功能。
2、配置要求
系统启用 sudo 命令日志功能。
3、配置方法
编辑 etc/sudoers 文件,配置 Defaults logfile=/var/log/sudo.log
配置方法:
echo "Defaults logfile=/var/log/sudo.log" >>/etc/sudoers
4 配置安全事件日志功能
1、检查内容
检查系统是否配置安全事件日志功能。
2、配置要求
系统配置安全事件日志功能。
3、配置方法
编辑 etc/rsyslog.conf 文件,配置*.err;kern.debug;daemon.notice /var/adm/messages
配置方法:
echo "*.err;kern.debug;daemon.notice /var/adm/messages" >>/etc/rsyslog.conf
touch /var/adm/messages
5 配置安全事件日志功能
1、检查内容
检查系统是否配置日志文件权限。
2、配置要求
系统配置日志文件权限。
3、配置方法
配置日志相关文件的权限
/var/log/messages
/var/log/secure
/var/log/audit/audit.log
/var/log/cron
/var/log/sudo.log
/var/adm/messages
文件的权限查看方法:ls -l 文件名,例如:ls -l /var/log/cron
权限修改方法:chmod 权限值 文件名或目录名,例如:chmod 600 /var/log/cron
配置举例如下:
chmod 600 /var/log/messages
chmod 600 /var/log/secure
chmod 600 /var/log/audit/audit.log
chmod 600 /var/log/cron
chmod 600 /var/log/sudo.log
chmod 600 /var/adm/messages
6 启动日志和审记服务
1、检查内容
检查系统是否启动日志和审记服务。
2、配置要求
系统启动日志和审记服务。
3、配置方法
重启 rsyslog 日志服务和 auditd 审计服务,命令如下:
service rsyslog restart
service auditd restart
查看服务运行状态命令如下:
systemctl status rsyslog
systemctl status auditd
