这个问题与我之前的问题有关:
Log all commands run by admins on production servers
管理员通过个人用户名登录服务器的公司政策,然后运行sudo -i成为root用户.运行sudo -i后,sudo将创建一个名为SUDO_USER的环境变量,其中包含原始用户的用户名.
是否可以让auditd在每个命令的日志中包含此变量?或功能等同物.
这是auditd的当前规则集:
# First rule - delete all -D # Increase the buffers to survive stress events. # Make this bigger for busy systems -b 320 # Log any command run on this system #-a exit,always -F arch=b64 -S execve -a exit,always -F arch=b32 -S execve
如
here所述:
运用
会话需要pam_loginuid.so
在所有登录相关的PAM配置文件(不是su和sudo的文件)中,auditd将让auditd在字段auid中记录调用用户的uid.
您可以使用以下方式在auditd的日志中搜索此ID
ausearch -ua< uid>
即使在冒充其他帐户时,也会产生用户发出的所有命令.
原文地址:https://www.jb51.cc/centos/373632.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。