那些遇到过的问题

进行审计以记录原始用户

Sov*_*ero 5 logging centos auditd

这个问题与我之前的问题有关:记录管理员在生产服务器上运行的所有命令

管理员通过个人用户名登录服务器,然后运行sudo -i成为 root ,这是公司的政策。运行时sudo -i,sudo 将创建一个名为 的环境变量SUDO_USER,其中包含原始用户的用户名。

是否可以auditd在每个命令的日志中包含此变量?或功能等价物。

这是当前的规则集auditd

# First rule - delete all
-D

# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320

# Log any command run on this system
#-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
Run Code Online (Sandbox Code Playgroud)

fue*_*ero 4

正如这里所述:

使用

session required pam_loginuid.so

在所有登录相关的 PAM 配置文件(不是 su 和 sudo 的配置文件)中,将让auditd调用用户的 uid 记录在字段中auid

您可以auditd使用以下命令在日志中搜索此 id

ausearch -ua <uid>

生成用户发出的所有命令,即使在冒充另一个帐户时也是如此。

归档时间:

查看次数:

4525 次

最近记录:

12 年,7 月 前
记录管理员在生产服务器上运行的所有命令 80
更多相关链接
相关归档
CentOS 8 上的 Docker CE 容器没有网络连接 27
Haproxy 不记录请求? 15
无法在 CentOS 6.0 x64 上安装 GIT 12
httpd 错误日志中有许多优雅的重启? 7
SSH 会话记录 6
后缀管道到脚本:execvp 权限被拒绝错误 6
Apache - 将 url 过滤到单独的日志文件中 3
在没有 system-config-network 的 CentOS 上设置静态 IP 2
限制来自 sudo 用户的文件 2
在 CentOS Linux 上将 ZFS 从 0.7.13 升级到 0.8.0 2
难疑归档
如何检查库是否已安装? 196
清除所有 iptables 规则的最佳方法 122
防止重复运行的 cron 作业 116
如何在 Ubuntu 上获取“apt-get install”的历史记录? 114
我们应该托管自己的域名服务器吗? 96
可以将 IIS 配置为将请求转发到另一台 Web 服务器吗? 83
如何在 Debian 系统上检查修改的配置文件? 68
fstab中nodev和nosuid的解释 61
DNS A 与 NS 记录 58
Bash:&gt; 和 &gt;&gt; 运算符之间的区别? 54