我试图了解任何日志文件中是否有此命令的记录:
$ su - user1
su: user user1 does not exist
我检查了/var/log/messages
,/var/log/secure
和/var/log/audit/audit.log
,但找不到任何与上述命令相关的消息。
注意-user1
不存在。
如果我尝试使用有效的用户名并输入无效的密码,我可以在上面的日志文件中看到失败消息。如果用户名无效,这些文件中就不会发生任何日志记录。如果这是默认行为,我们有什么办法可以启用这些消息的日志记录吗?
答案1
su
日志记录基于变量SULOG_FILE
(用于登录到某个文件),而SYSLOG_SU_ENAB
用于登录到 syslog,则设置在/etc/login.defs
,用于影子密码套件配置。
在“交叉引用”部分中,列出了所有有影响的配置参数su
,其中没有一个与此login
配置参数相似,可以启用未知用户名的记录。
LOG_UNKFAIL_ENAB
(布尔值)记录登录失败时启用显示未知用户名。
注意:如果用户输入密码而不是登录名,记录未知用户名可能会存在安全问题。
不过,这条注释对于理解为什么记录未知用户名不是一个好主意是有意义的。