我在基于 Red Hat 的系统上创建了一个名为“ciadmin”的 LDAP 用户,但没有使用 sudo privlidges。不知何故,该用户现在拥有 sudo 权限,并且基本上可以成为系统的 root 权限。
我想追踪这是怎么发生的以及是谁干的?
我注意到 visudo 用户 ciadmin 如下所示。似乎有人篡改了该文件,但尚不确定是谁
## Read drop-in files from /etc/sudoers.d (the # here does not mean a comment)
#includedir /etc/sudoers.d
ciadmin ALL=(ALL) NOPASSWD:ALL
答案1
您可以/var/log/auth.log在以压缩形式存储的旧文件中找到相关历史记录.gz。它包含系统授权信息,包括用户登录和使用的身份验证机制。
可以通过如下方式找到文件:
$ ls /var/log | grep -i auth
auth.log
auth.log.1
auth.log.2.gz
auth.log.3.gz
auth.log.4.gz
示例:我刚刚创建了用户xyz,然后将其添加到组中sudo,可以通过以下方式找到相关历史记录:
$ cat /var/log/auth.log | grep -i xyz
Dec 18 18:54:51 pandya-desktop sudo: pandya : TTY=pts/2 ; PWD=/home/pandya ; USER=root ; COMMAND=/usr/sbin/useradd xyz
Dec 18 18:54:51 pandya-desktop useradd[7763]: new group: name=xyz, GID=1002
Dec 18 18:54:51 pandya-desktop useradd[7763]: new user: name=xyz, UID=1002, GID=1002, home=/home/xyz, shell=
Dec 18 18:55:51 pandya-desktop sudo: pandya : TTY=pts/2 ; PWD=/home/pandya ; USER=root ; COMMAND=/usr/sbin/usermod -a -G group xyz
Dec 18 18:55:57 pandya-desktop sudo: pandya : TTY=pts/2 ; PWD=/home/pandya ; USER=root ; COMMAND=/usr/sbin/usermod -a -G sudo xyz
Dec 18 18:55:57 pandya-desktop usermod[7872]: add 'xyz' to group 'sudo'
Dec 18 18:55:57 pandya-desktop usermod[7872]: add 'xyz' to shadow group 'sudo'
您可以看到这一行,它给出了用户被添加到 tp 组Dec 18 18:55:57 pandya-desktop usermod[7872]: add 'xyz' to group 'sudo'的历史记录Dec 18 18:55:57xyzsudo