2015-02-18

Ubuntu 查詢使用者執行 sudo 的記錄

阿舍之前有遇到一個狀況,就是有一部機器上面有多位使用者有 sudo 的權限,但是,又沒有主要的負責人來管理這部機器,所以,常常就會有人不小心用 sudo 執行了不該執行的指令,然後,機器就出問題了,因此,就得要去查看看,是誰執行了什麼指令,做了什麼動作來造成這個問題,這樣,才會比較方便解決問題哩 ! ...



阿舍一開始,是找到可以安裝這個 acct 套件來記錄使用者的活動,但是,阿舍測了一下後才發現,這個 acct 套件對於 sudo 指令的執行記錄只有簡單的就只顯示 sudo,然後,使用者還是歸給 root,所以,對阿舍想要達到的需求是一點幫助也沒有哩 !

檢視 sudo 執行記錄
因此,阿舍又去搜尋一下,就有看到說,去改 /etc/sudoers 這個檔,加入 LOG_INPUT 和 LOG_OUTPUT 的選項就可以產生 sudo 的日誌檔,於是阿舍就去改了,結果 ... 就是阿舍這一篇寫的這個問題,所以,也是沒用哩 ! ...

後來,阿舍在查別的東西的時候才發現,原來,阿舍要的這個功能在 Ubuntu 上已經內建就有了 (阿舍還沒查到是從那一個版本開始的 ...),所以,只要去打開 /var/log/auth.log 這個檔案,就可以查到那個使用者在什麼時間用 ssh 登入以及用 sudo 在什麼時間執行了什麼指令哩!

下面就是阿舍用 arthurtoday 這個使用者去修改 /etc/network/interfaces 檔案後,在 /var/log/auth.log 檔案所留下的記錄內容,依序是執行的日期、時間、機器名稱、執行 sudo 的使用者帳號、終端機代號、所在位置、使用的使用者帳號及指令的完整執行內容,一切都清清楚楚的哩 !

Feb 14 18:01:57 ubnsrv1404 sudo: arthurtoday : TTY=pts/0 ; PWD=/home/arthurtoday ; USER=root ; COMMAND=/usr/bin/vi /etc/network/interfaces



[+] Ubuntu 指令新手會用到的35個技法 - 這是以阿舍的使用經驗編寫出來的電子書,三天內應該就看的完,學的起來哩 ! 有空就參考一下囉 ! ... ^^=

關於阿舍

好文不藏私,請多分享囉!! ^^=



沒有留言 :

張貼留言

如果留言後,發現留言不見了,這通常是因為 Goolge 把它認為是垃圾留言了,請用信件通知阿舍調整 ( ayubiz@gmail.com )。謝謝 !