我是一名系统审计员,对 Linux 操作系统的了解非常有限。我目前正在审计一台 RHEL 7 服务器,发现一组用户正在通过 LDAP 进行身份验证,并通过 PAM 使用“su”。我想知道以下文件内容的解释,以及在哪里可以查看他们的访问日志。
etc/pam.d/su
#%PAM-1.0
auth sufficient pam_rootok.so
auth [success=2 default=ignore] pam_succeed_if.so use_uid user notingroup bdbadmin
auth required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-bdbadmin-access
auth required pam_wheel.so use_uid group=bdbadmin
auth [success=2 default=ignore] pam_succeed_if.so use_uid user notingroup wheel
auth required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-wheel-access
auth required pam_wheel.so use_uid group=wheel
"# Uncomment the following line to implicitly trust users in the "wheel" group.
"#auth sufficient pam_wheel.so trust use_uid
"# Uncomment the following line to require a user to be in the "wheel" group.
"#auth required pam_wheel.so use_uid
auth substack system-auth
auth include postlogin
account sufficient pam_succeed_if.so uid = 0 use_uid quiet
account include system-auth
password include system-auth
session include system-auth
session include postlogin
session optional pam_xauth.so
据我了解,bdbadmin 组中的用户可以进行 su 访问,但我不知道在哪里查找 sudoers 列表或他们的访问日志。
提前致谢。
答案1
欢迎来到StackExchange,特别是超级用户。
访问日志位于/var/log/auth.log,当然只有根。
列出给定组的所有成员的命令是成员,如果你的机器上安装了它(默认情况下没有安装),
members sudo或者你可以直接解析/etc/组包含相关信息的文件,
grep /etc/group sudo你可以用以下方法再次检查
group UserName
查看所有群组用户名属于。
- 至于聚丙烯酰胺和文件苏,你应该知道默认情况下聚丙烯酰胺使用位于的配置文件/etc/pam.conf 除非目录/etc/pam.d/不为空(您的情况),在这种情况下目录内容具有更高的优先级。条目的语法最好通过参考手册来学习这里;此网页第一的讨论语法/etc/pam.conf文件,然后是/etc/pam.d/目录,这略有不同(现在您明白为什么我必须提到上面的区别了)。
如果你对规则集的内容有具体疑问苏以上内容,在我阅读手册之后,这些问题对我来说似乎相当透明,如果可以的话,我很乐意回答。