我们在公司使用 Suse linux,我想知道每当有人使用“su”命令切换到我的 linux 用户时我是否可以收到警报?您知道如何实施吗?
谢谢。
答案1
标准 linux 报告 su 和 sudo 的使用情况是通过/var/log/auth.log.
因此,最简单的方法是跟踪该日志文件并创建警报。您可以构建一个简单的脚本来发送邮件或使用能够触发警报的日志文件分析器(即logstash、graylog)。
以下是协议的两个su示例sudo:
su用户:testx在 07:47:26使用命令成功获取 root并在 07:47:30 再次退出
May 11 07:47:26 server su[3873]: Successful su for root by testx
May 11 07:47:26 server su[3873]: + /dev/pts/3 testx:root
May 11 07:47:26 server su[3873]: pam_unix(su:session): session opened for user root by testx(uid=1002)
May 11 07:47:30 server su[3873]: pam_unix(su:session): session closed for user root
用户:testx 在 07:54:21 使用sudo命令成功获取 root 并在 07:54:31 再次退出
May 11 07:54:21 server sudo: testx : TTY=pts/3 ; PWD=/ ; USER=root ; COMMAND=/bin/sh
May 11 07:54:21 server sudo: pam_unix(sudo:session): session opened for user root by testx(uid=0)
May 11 07:54:31 server sudo: pam_unix(sudo:session): session closed for user root
用户:testx 不允许使用sudo命令(尝试失败)。
May 11 07:56:04 server sudo: testx : user NOT in sudoers ; TTY=pts/3 ; PWD=/ ; USER=root ; COMMAND=/bin/sh
user: 文本不允许使用su命令(密码错误)。
May 11 07:56:57 server su[3927]: pam_unix(su:auth): authentication failure; logname=testx uid=1002 euid=0 tty=/dev/pts/3 ruser=testx rhost= user=root
May 11 07:56:59 server su[3927]: pam_authenticate: Authentication failure
May 11 07:56:59 server su[3927]: FAILED su for root by testx
May 11 07:56:59 server su[3927]: - /dev/pts/3 testx:root