我有一组使用 Kerberos 进行身份验证的服务器。我们向用户分发密钥表,但希望确保用户永远不会将其密钥表传递给其他人。本质上,我们需要审核登录我们系统的用户的 IP。如果 IP 似乎不属于我们的域,我们希望了解它。我该怎么办?我有点迟钝。可以使用 auditd 来完成此操作吗?谢谢!
答案1
auditd
救援:
ausearch -m USER_AUTH
收益(其中包括):
type=USER_AUTH msg=audit(1435161396.088:342): pid=17550 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=success acct="root" exe="/usr/sbin/sshd" hostname=? addr=10.0.0.x terminal=ssh res=success
答案2
您可以使用命令“last”,它将显示登录服务器的用户、IP 地址和日期。