审计服务器 Root Access(根权限)使用情况,核心目标是:谁、何时、从哪、做了什么、结果如何,并满足合规与安全要求。下面从 策略 → 技术手段 → 审计流程 → 最佳实践 完整说明。
| 维度 | 说明 |
|---|---|
| 身份验证 | 谁获得了 root |
| 授权方式 | su / sudo / SSH / 控制台 |
| 时间 | 登录、操作时间 |
| 来源 | IP、终端、主机 |
| 操作内容 | 执行的命令 |
| 权限变更 | 是否提权、是否切换用户 |
| 退出 | 正常或异常退出 |
# /etc/ssh/sshd_config
PermitRootLogin no
# /etc/sudoers
Defaults log_output
Defaults logfile="/var/log/sudo.log"
Defaults timestamp_timeout=5
✅ 可审计:
Aug 20 10:12:01 server sudo: user01 : TTY=pts/0 ; PWD=/home/user01 ; USER=root ; COMMAND=/bin/bash
export HISTTIMEFORMAT="%F %T "
⚠️ 缺点:可被用户绕过
# 监控 sudo 和 su
auditctl -w /usr/bin/sudo -p x -k sudo_usage
auditctl -w /usr/bin/su -p x -k su_usage
查看日志:
ausearch -k sudo_usage
✅ 可审计:
journalctl -u sshd
或:
/var/log/secure # RHEL/CentOS
/var/log/auth.log # Debian/Ubuntu
关注:
session required pam_tty_audit.so enable=root
✅ 可记录 root 的键盘输入(高级)
| 工具 | 用途 |
|---|---|
| rsyslog / syslog-ng | 基础 |
| ELK / EFK | 可视化 |
| Splunk | 合规审计 |
| Loki + Grafana | 轻量 |
rm -rfchmod 777/etc/passwd| 控制点 | 要求 |
|---|---|
| 最小权限 | 禁止日常 root |
| 可追溯 | 每个操作可对应到人 |
| 不可抵赖 | 日志防篡改 |
| 定期审计 | 必须定期审查 |
✅ 禁止 root 直接登录
✅ 只通过 sudo 提权
✅ sudo 仅限必要命令
✅ 使用堡垒机 / Jumpserver
✅ 启用 auditd + 日志远程存储
✅ 定期审计 + 自动化告警
| 场景 | 推荐方案 |
|---|---|
| 小型服务器 | sudo + history |
| 企业内网 | sudo + auditd + syslog |
| 金融/合规 | 堡垒机 + auditd + SIEM |
| 云服务器 | CloudTrail + OS audit |
审计 root 权限不是看“有没有用 root”,而是看“谁、何时、为什么、做了什么、是否被授权”。
如果你愿意,我可以:
告诉我你现在的服务器规模和合规要求即可。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。