在我们的一台服务器上,yum history报告:
[tschmidt@sl-was01p ~]$ sudo yum history
Loaded plugins: product-id, search-disabled-repos, security, subscription-
: manager
ID | Login user | Date and time | Action(s) | Altered
-------------------------------------------------------------------------------
30 | <dlewandowski> | 2016-10-07 11:18 | E, I, U | 38 EE
29 | <dlewandowski> | 2016-09-16 16:13 | Erase | 3
[...]
但是报告的登录用户发誓他当时没有靠近机器(物理上或逻辑上),并且last似乎支持这一点:
[tschmidt@sl-was01p ~]$ last|grep dle
dlewando pts/0 al-dlewandowski. Tue Oct 11 09:01 - 09:23 (00:22)
dlewando pts/0 al-dlewandowski. Tue Oct 11 08:37 - 08:40 (00:02)
dlewando pts/1 al-dlewandowski. Tue Oct 4 11:04 - 11:09 (00:04)
dlewando pts/0 al-dlewandowski. Tue Oct 4 10:50 - 11:11 (00:21)
Syslog 也不sudo向该用户报告有关相关活动的任何活动yum。
我想知道为什么yum history报告明显不正确的用户。它从哪里提取这些信息?用户名不会出现在/var/log/yum.log.
小智 2
yum 命令记录登录机器的用户(登录名)。您可以看到当前会话\xe2\x80\x99s 的登录名logname。su(带或不带sudo)将启动一个新的 shell,但不会更改登录名。
如果您运行yum history stats {TRANSACTION ID},它会告诉您存储 yum 事务数据的 SQLite 数据库文件的位置。你可以用sqlite3打开这个文件来查找各种信息。名为 的表trans_beg有一个名为 的字段loginuid。
[root ~]# yum history stats 4\nLoaded plugins: amazon-id, rhui-lb, search-disabled-repos\nFile : //var/lib/yum/history/history-2015-11-10.sqlite\n..\n[root ~]# sqlite3 //var/lib/yum/history/history-2015-11-10.sqlite\nSQLite version 3.7.17 2013-05-20 00:56:22\nEnter ".help" for instructions\nEnter SQL statements terminated with a ";"\nsqlite> .schema\nCREATE TABLE trans_beg (\n tid INTEGER PRIMARY KEY,\n timestamp INTEGER NOT NULL, rpmdb_version TEXT NOT NULL,\n loginuid INTEGER);\n| 归档时间: |
|
| 查看次数: |
554 次 |
| 最近记录: |