우리 회사에서는 Suse Linux를 사용하고 있는데 누군가가 "su" 명령을 사용하여 내 Linux 사용자로 전환할 때마다 경고를 받을 수 있는지 궁금합니다. 구현하는 방법을 알고 있나요?
감사해요.
답변1
표준 Linux는 를 통해 su 및 sudo 사용량을 보고합니다 /var/log/auth.log.
따라서 가장 쉬운 방법은 해당 로그 파일을 추적하고 경고를 생성하는 것입니다. 간단한 스크립트를 작성하여 이메일을 보내거나 경고를 트리거할 수 있는 로그 파일 분석기(예: logstash, greylog)를 사용할 수 있습니다.
다음은 프로토콜의 두 가지 su예 입니다 sudo.
su사용자: testx는 07:47:26에 명령을 사용하여 성공적으로 루트를 얻었고 07:47:30에 다시 종료했습니다.
May 11 07:47:26 server su[3873]: Successful su for root by testx
May 11 07:47:26 server su[3873]: + /dev/pts/3 testx:root
May 11 07:47:26 server su[3873]: pam_unix(su:session): session opened for user root by testx(uid=1002)
May 11 07:47:30 server su[3873]: pam_unix(su:session): session closed for user root
사용자: testx는 sudo07:54:21에 명령을 사용하여 성공적으로 루트를 얻었고 07:54:31에 다시 종료했습니다.
May 11 07:54:21 server sudo: testx : TTY=pts/3 ; PWD=/ ; USER=root ; COMMAND=/bin/sh
May 11 07:54:21 server sudo: pam_unix(sudo:session): session opened for user root by testx(uid=0)
May 11 07:54:31 server sudo: pam_unix(sudo:session): session closed for user root
사용자에게 허용되지 않는 명령: testx sudo(시도 실패).
May 11 07:56:04 server sudo: testx : user NOT in sudoers ; TTY=pts/3 ; PWD=/ ; USER=root ; COMMAND=/bin/sh
사용자: 텍스트 su명령이 허용되지 않습니다(잘못된 비밀번호).
May 11 07:56:57 server su[3927]: pam_unix(su:auth): authentication failure; logname=testx uid=1002 euid=0 tty=/dev/pts/3 ruser=testx rhost= user=root
May 11 07:56:59 server su[3927]: pam_authenticate: Authentication failure
May 11 07:56:59 server su[3927]: FAILED su for root by testx
May 11 07:56:59 server su[3927]: - /dev/pts/3 testx:root