sudo 권한을 사용하지 않고 Red Hat 기반 시스템에서 "ciadmin"이라는 LDAP 사용자를 만들었습니다. 어쨌든 해당 사용자는 이제 sudo 권한을 가지며 본질적으로 시스템의 루트가 될 수 있습니다.
어떻게 이런 일이 일어났는지, 누가 그랬는지 추적하고 싶습니다.
visudo 사용자 ciadmin이 아래와 같이 표시되는 것을 확인했습니다. 누군가가 파일을 변조한 것으로 보이지만 누가 누구인지는 확실하지 않습니다.
## Read drop-in files from /etc/sudoers.d (the # here does not mean a comment)
#includedir /etc/sudoers.d
ciadmin ALL=(ALL) NOPASSWD:ALL
답변1
/var/log/auth.log압축된 형태로 저장된 오래된 파일에서 이력을 확인할 수 있습니다 .gz. 여기에는 사용자 로그인 및 사용된 인증 메커니즘을 포함한 시스템 인증 정보가 포함되어 있습니다.
파일은 다음을 통해 찾을 수 있습니다.
$ ls /var/log | grep -i auth
auth.log
auth.log.1
auth.log.2.gz
auth.log.3.gz
auth.log.4.gz
예: 방금 사용자를 생성 xyz한 후 그룹에 추가했습니다. sudo관련 기록은 다음을 통해 찾을 수 있습니다.
$ cat /var/log/auth.log | grep -i xyz
Dec 18 18:54:51 pandya-desktop sudo: pandya : TTY=pts/2 ; PWD=/home/pandya ; USER=root ; COMMAND=/usr/sbin/useradd xyz
Dec 18 18:54:51 pandya-desktop useradd[7763]: new group: name=xyz, GID=1002
Dec 18 18:54:51 pandya-desktop useradd[7763]: new user: name=xyz, UID=1002, GID=1002, home=/home/xyz, shell=
Dec 18 18:55:51 pandya-desktop sudo: pandya : TTY=pts/2 ; PWD=/home/pandya ; USER=root ; COMMAND=/usr/sbin/usermod -a -G group xyz
Dec 18 18:55:57 pandya-desktop sudo: pandya : TTY=pts/2 ; PWD=/home/pandya ; USER=root ; COMMAND=/usr/sbin/usermod -a -G sudo xyz
Dec 18 18:55:57 pandya-desktop usermod[7872]: add 'xyz' to group 'sudo'
Dec 18 18:55:57 pandya-desktop usermod[7872]: add 'xyz' to shadow group 'sudo'
Dec 18 18:55:57 pandya-desktop usermod[7872]: add 'xyz' to group 'sudo'tp 그룹에 추가된 사용자 의 기록을 제공하는 이 줄을 볼 수 있습니다.Dec 18 18:55:57xyzsudo