Linux (나의 경우 SuSe) 에서 명령을 사용하여 su사용자 기록을 어떻게 얻을 수 있나요?root
답변1
@Eduardo Trapani의 의견이 정확합니다. 검색 중인 /var/log/auth.log전체 단어의 발생 횟수 su(1):
# grep -w su /var/log/auth.log
Jun 9 23:33:47 <auth.notice> jimsdesk su[30048]: jim to root on /dev/pts/0
위의 예는 사용자가 6월 9일 23:33:47에 입력한 것을 보여줍니다 jim.root
어떤 실제 명령이 실행되었는지 알고 싶다면 @waltinator의 사용법 제안을 구현하거나 이 파일 이나 유사한 기록 파일을 덮어쓰거나 우회하지 않기를 sudo(8)바랍니다 . /root/.history어쨌든, root어디를 사용하지 않으면 기록 파일은 누가 무엇을 했는지 파악하는 데 도움이 되지 않습니다(문제가 있는 경우).sudo
답변2
@짐L.올바른 길을 가고 있어요:)
그러나 최신 Linux에서는 일반적으로 /var/log/auth.log를 적극적으로 보존하지 않습니다. 대신 동일한 아이디어이지만 다음과 같습니다 journalctl.
journalctl --since=2021-05-09
저널ctl(-q)을 조용하게 하고 su에 대한 성공적인 인증만 인쇄하도록 해야 합니다.
journalctl --since=2021-05-09 -q -g 'pam_unix\(su:session\): session opened for user root'
우리가 이것들의 수량에만 관심이 있다면:
journalctl --since=2021-05-09 -q -g 'pam_unix\(su:session\): session opened for user root' | wc -l