我们不允许通过 ssh 直接登录 root,但显然可以通过控制台访问。如果有人使用 root 通过控制台登录,是否可以记录直接 root 登录,并发送电子邮件或写入日志文件?
我们使用 Centos 5/6
答案1
Linux 登录过程主要由聚丙烯酰胺(Linux 的可插入式身份验证模块)是一套共享库,使本地系统管理员能够选择应用程序如何验证用户。
默认情况下,一些 PAM 消息已记录到 syslog 中,因此通过监视它们,您可以触发通知。具体来说,/var/log/secure默认情况下会记录登录事件。您可以监视此文件以获取警报。
或者你可以使用pam_exec作为成功登录事件的一部分执行特定的通知命令。
session [default=1 success=ignore] pam_succeed_if.so quiet uid = 0
session required pam_exec.so /usr/bin/wall "root has logged in!"