我很好奇,想知道是否有 3 或 4 个人对某个节点具有 root 访问权限。其中一个人已启动要运行的作业,但有人终止了正在运行的作业。由于每个人都具有 root 访问权限,因此识别终止作业/进程的人的最佳方法是什么。
答案1
如果没有启用适当的审计,则不可能。如果没有审计,您只能根据时间戳猜测作业被终止的具体时间(如果您有此类信息)以及哪些用户已登录。我猜他们以普通用户身份登录并使用类似su或之类的东西sudo成为 root。
关于审计 - 基本方法是为 root 设置一个登录脚本,该脚本将根据切换到 root 的用户设置不同的历史记录文件。对于更复杂的审计(内核本身记录哪个用户做了什么),请在 Google 上搜索“linux 审计”。