aureport 中“unset”的用户是谁?

aureport 中“unset”的用户是谁?

我找不到这个难以捉摸的“未设置”用户,尽管她在我的审核日志中获得了最多的点击次数,/etc/passwd但也没有提及他:man aureport

# aureport -u -i --summary --start today

User Summary Report
===========================
total  auid
===========================
888  unset
222  root
55  creepy_user

谁是“未设置”的用户?他以什么为生?

答案1

基于auid此 SuSE 页面的定义,标题为:了解审核日志并生成报告:

奥伊德

审核 ID。用户登录时,进程会获得一个审核 ID。然后,该 ID 被传递给由用户的初始进程启动的任何子进程。即使用户更改其身份(例如,成为 root),审核 ID 也保持不变。因此,您始终可以追踪登录的原始用户的操作。

我的结论是,用户没有为传递给启动的子进程的进程执行登录。有多种方法可以在不实际登录的情况下在 Unix 上运行进程。

我相信pam_loginuid是负责设置这个的。您可以查看手册页以了解更多信息。

相关内容