Узнайте, кто подошел к вашему пользователю

Мы используем Suse linux в нашей компании, и мне было интересно, если в любом случае я могу получить предупреждение, когда кто-то использует команду su, чтобы переключиться на моего пользователя linux? Вы знаете, как это можно реализовать?

Благодарю.

One Solution collect form web for “Узнайте, кто подошел к вашему пользователю”

стандартные отчеты linux su и sudo используются через модуль PAM в /var/log/auth.log .

Таким образом, самый простой способ – отслеживать этот файл журнала и создавать аварийные сигналы. Вы можете создать простой скрипт для отправки писем или использовать анализаторы файлов журналов (то есть logstash, graylog), которые могут запускать аварийные сигналы.

Вот два примера протоколов su и sudo :

user: testx успешно получил root, используя команду su в 07:47:26 и снова вышел в 07:47:30

 May 11 07:47:26 server su[3873]: Successful su for root by testx May 11 07:47:26 server su[3873]: + /dev/pts/3 testx:root May 11 07:47:26 server su[3873]: pam_unix(su:session): session opened for user root by testx(uid=1002) May 11 07:47:30 server su[3873]: pam_unix(su:session): session closed for user root 

user: testx успешно получил root, используя команду sudo в 07:54:21 и снова вышел в 07:54:31

 May 11 07:54:21 server sudo: testx : TTY=pts/3 ; PWD=/ ; USER=root ; COMMAND=/bin/sh May 11 07:54:21 server sudo: pam_unix(sudo:session): session opened for user root by testx(uid=0) May 11 07:54:31 server sudo: pam_unix(sudo:session): session closed for user root 

user: testx не может использовать команду sudo (неудачная попытка).

 May 11 07:56:04 server sudo: testx : user NOT in sudoers ; TTY=pts/3 ; PWD=/ ; USER=root ; COMMAND=/bin/sh 

user: текст не разрешен для использования команды su (неправильный пароль).

 May 11 07:56:57 server su[3927]: pam_unix(su:auth): authentication failure; logname=testx uid=1002 euid=0 tty=/dev/pts/3 ruser=testx rhost= user=root May 11 07:56:59 server su[3927]: pam_authenticate: Authentication failure May 11 07:56:59 server su[3927]: FAILED su for root by testx May 11 07:56:59 server su[3927]: - /dev/pts/3 testx:root 
  • su не запрашивать пароль
  • Как получить подсказку при переключении на обычную учетную запись пользователя, когда вы уже вошли в систему как пользователь root
  • Переключение пользователей без символа -
  • root не может подключиться к symlinked socket другого пользователя
  • В чем разница между `su`` и` su -login`?
  • Проблема с выполнением команды как другого пользователя с sudo -u
  • Установка пароля root и sudo -i
  • Любое специальное разрешение ssh удаленная команда, работающая над файлом fifo (так называемый канал)?
  • Запустить команду mkvirtualenv как другого пользователя
  • Некоторые команды не работают в su envirorment
  • как написать скрипт, который будет запускать команды после su, без использования -c
  • Interesting Posts

    Как заменить строку знаком доллара в sed?

    Менеджер архива не показывает файл с именем «-»

    sed / awk заменяет определенный шаблон под другим шаблоном

    Введение в shell-скрипты с базовым приложением: как настроить мой компьютер на создание архива определенной папки каждый день?

    Как настроить общий SFTP-каталог для определенных пользователей, установленный с помощью s3fs?

    Ярлык клавиатуры для переключения файлов в одном экземпляре Emacs?

    Как определенно перемещать файл, не перезаписывая ничего

    Как путь к поиску «человеческих» страниц задан?

    zsh-completion: Завершение двух частей аргумента, разделенных двоеточием

    Измените /etc/lvm/lvm.conf и добавьте новый глобальный фильтр

    Что такое полуфайлы?

    Установка Debian через сеть (не Интернет)

    разница между и паттерном в команде awk

    Поиск соответствия между моим ноутбуком и ядром linux

    Вывод на запуск PHP из командной строки

    Linux и Unix - лучшая ОС в мире.