我找不到这个难以捉摸的“未设置”用户,尽管她在我的审核日志中获得了最多的点击次数,/etc/passwd
但也没有提及他:man aureport
# aureport -u -i --summary --start today
User Summary Report
===========================
total auid
===========================
888 unset
222 root
55 creepy_user
谁是“未设置”的用户?他以什么为生?
答案1
基于auid
此 SuSE 页面的定义,标题为:了解审核日志并生成报告:
奥伊德
审核 ID。用户登录时,进程会获得一个审核 ID。然后,该 ID 被传递给由用户的初始进程启动的任何子进程。即使用户更改其身份(例如,成为 root),审核 ID 也保持不变。因此,您始终可以追踪登录的原始用户的操作。
我的结论是,用户没有为传递给启动的子进程的进程执行登录。有多种方法可以在不实际登录的情况下在 Unix 上运行进程。
我相信pam_loginuid
是负责设置这个的。您可以查看手册页以了解更多信息。