누군가가 사용자를 한 번 추가했다고 가정하면 그 sudo사람이 누구인지 쉽게 확인할 수 있는 방법이 있습니까?
답변1
그들이 그것을 사용했다고 언급했으므로 sudo로그에 이 내용이 포함될 수 있습니다.
예를 들어 systemd를 사용하면 다음과 같습니다.
% sudo useradd foobar
% sudo journalctl /bin/sudo | grep -e useradd -e adduser
Dec 18 22:42:37 gongzuo sudo[24430]: cdown : TTY=pts/10 ; PWD=/home/cdown ; USER=root ; COMMAND=/usr/sbin/useradd foobar
시스템이 아닌 시스템에서는 일반적으로 /var/log/secure이 로그를 또는 에서 찾을 수 있습니다 /var/log/auth.log.
답변2
제안된 대로 이는 시스템마다 다릅니다. Debian에서는 동일하지 않지만 Fedora Linux에서는 테스트되었습니다.
"감사 하위 시스템"은 기본적으로 설치되고 활성화됩니다. 사용자가 로 열린 루트 셸에서 useradd를 실행하는 경우에도 이를 찾을 수 있습니다 sudo -i. 영구 systemd-journal이 있는 경우 해당 항목이 여기에 표시되어야 하며 감사를 담당하는 숫자 사용자 ID를 볼 수 있습니다.
2월 28일 17시 30분 32초 alan-laptop 검토 [18253]: ADD_GROUP pid=18253 uid=0 보조=1000ses=9 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=add-group acct="test" exe="/usr/sbin/useradd" 호스트 이름=alan-laptop addr=? 터미널=pts/1 res=성공' 2월 28일
17:30:32 alan-laptop audit[18253]: ADD_USER pid=18253 uid=0 auid=1000 ses=9 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=사용자 ID 추가 =1003 exe="/usr/sbin/useradd" 호스트 이름=alan-laptop addr=? 터미널=pts/1 res=성공'