进行审计以记录原始用户

Question

这个问题与我之前的问题有关：记录管理员在生产服务器上运行的所有命令

管理员通过个人用户名登录服务器，然后运行sudo -i成为 root ，这是公司的政策。运行时sudo -i，sudo 将创建一个名为 的环境变量SUDO_USER，其中包含原始用户的用户名。

是否可以auditd在每个命令的日志中包含此变量？或功能等价物。

这是当前的规则集auditd：

# First rule - delete all
-D

# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320

# Log any command run on this system
#-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve

Answer 1

正如这里所述：

使用

session required pam_loginuid.so

在所有登录相关的 PAM 配置文件（不是 su 和 sudo 的配置文件）中，将让auditd调用用户的 uid 记录在字段中auid。

您可以auditd使用以下命令在日志中搜索此 id

ausearch -ua <uid>

生成用户发出的所有命令，即使在冒充另一个帐户时也是如此。