如何解决“cmd”字段未在审核日志中正确填充
当我执行命令和尾部审计日志时,我看到
operator@localhost:~$ sudo mkdir
[sudo] password for operator:
Sorry,user operator is not allowed to execute '/bin/mkdir' as root on localhost.
type=USER_AUTH msg=audit(1613113102.580:20774): pid=31633 uid=1001 auid=1001 ses=1294 msg='op=PAM:authentication acct="operator" exe="/usr/bin/sudo" hostname=? addr=? terminal=/dev/pts/2 res=success'
type=USER_ACCT msg=audit(1613113102.581:20775): pid=31633 uid=1001 auid=1001 ses=1294 msg='op=PAM:accounting acct="operator" exe="/usr/bin/sudo" hostname=? addr=? terminal=/dev/pts/2 res=success'
type=USER_CMD msg=audit(1613113102.581:20776): pid=31633 uid=1001 auid=1001 ses=1294 msg='cwd="/home/operator" cmd="mkdir" terminal=pts/2 res=Failed'
命令字段显示 mkdir,这是我执行的命令。
但是当我给出 2 个词时,它没有正确填充
operator@localhost:~$ sudo mkdir des
[sudo] password for operator:
Sorry,user operator is not allowed to execute '/bin/mkdir des' as root on localhost.
type=USER_AUTH msg=audit(1613113195.505:20802): pid=2474 uid=1001 auid=1001 ses=1294 msg='op=PAM:authentication acct="operator" exe="/usr/bin/sudo" hostname=? addr=? terminal=/dev/pts/2 res=success'
type=USER_ACCT msg=audit(1613113195.506:20803): pid=2474 uid=1001 auid=1001 ses=1294 msg='op=PAM:accounting acct="operator" exe="/usr/bin/sudo" hostname=? addr=? terminal=/dev/pts/2 res=success'
type=USER_CMD msg=audit(1613113195.506:20804): pid=2474 uid=1001 auid=1001 ses=1294 msg='cwd="/home/operator" cmd=6D6B64697220646573 terminal=pts/2 res=Failed'
这里的 cmd 字段显示了一些垃圾值(应该是 mkdir des)。我可以进行任何配置更改来解决此问题吗?
即使你能指引我去我应该寻找的地方,这也会很有帮助。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
