我是一个系统的主要系统管理员。系统中有3个具有root权限的sudoers用户。
系统在后台运行一个脚本,该脚本检查系统实用程序的哈希值以检测可能的恶意更改。今天我收到警报,该ssh实用程序的哈希值已更改。
ssh
直到现在还没有任何更新,我认为其中一个 sudoers 对此负责。是否可以检测哪个 sudoer 更改了ssh实用程序?
security logs sudo audit
audit ×1
logs ×1
security ×1
sudo ×1