我目前正在(冷)检查 Solaris 机器的 sulog,我的一位同事断言,如果我看到以 结尾的行user1-root,则 user1 可以访问 root 密码。
sudo su root我怀疑这实际上可能是 user1 调用并输入自己的密码的结果。我没有实时系统来测试这一点,所以我想知道是否有人可以证实我的怀疑。
另一种方法是,这sudo su root将导致日志行以root-root.
答案1
哪个版本的 Solaris?我问的原因是,在 v11 中,root 是默认的角色。在 v11 中,还有一项功能允许用户使用其密码对角色进行身份验证,以允许没有 RBAC 角色和/或组帐户的密码 ( roleauth=user)。这意味着,root 在 Solaris 11 上甚至可能不知道密码。
所以答案取决于。
我相信无论他们是否知道帐户/角色的密码,sulog 中的条目看起来都是一样的。如果您想知道他们是否致电su或sudo,您可以询问用户,或检查审核日志。但我希望管理一个特权帐户,这是一个学术类型的问题。
答案2
在 Solaris 10 测试系统上,我进入了myuserid-rootsulog,sudo su root而不是root-root,正如我所料。su如果/当设置时,显然正在捕获 SUDO_USER 。根据truss,su的环境root在写入sulog时同时设置了LOGNAME和USER; SUDO_USER 是 myuserid 的唯一值。