Ubuntu Linux sudo日志記錄配置
環境:Ubuntu 12.04 server。
sudo權限分配使用visudo來管理。示例在/usr/share/doc/sudo/examples/sample.sudoers下有。百度百科中有對sudo的詳細介紹和visudo的使用說明。
因為Ubuntu12.04中使用的是rsyslog(Remote System Log),是syslog的升級版,但是使用方法跟syslog相同,在網上找到的很多資料都說修改/etc/syslog.conf文件(這是很多其他版本的linux和早期版本中ubuntu中用的),實際上修改/etc/rsyslog.conf是一樣的。
1.配置/etc/rsyslog.conf
在其中加入一行:local2.debug /var/log/sudo.log(中間用tab分隔)
2.root用戶執行visudo修改/etc/sudoers文件:
在其中添加:
##
# Override built-in defaults
##
Defaults syslog=auth
Defaults>ALL !set_logname
Defaults:FULLTIMERS !lecture
Defaults:millert !authenticate
Defaults@SERVERS log_year, logfile=/var/log/sudo.log
Defaults!PAGERS noexec
Defaults logfile=/var/log/sudo.log
3.重啟rsyslog
service rsyslog restart
4.檢驗
可以看到在/var/log下面生成了sudo.log文件,對於錯誤的sudo操作的記錄如下:
tsli@ubuntu:/usr/lib$ sudo ls
[sudo] password for tsli:
tsli is not in the sudoers file. This incident will be reported.