Задать вопрос
belyy_shum
@belyy_shum

Где хранятся логи о создании пользователя с правами рута в Линуксе?

Где можно посмотреть или настроить такое журналирование?
Также это касается и выдачи прав (sudo)
  • Вопрос задан
  • 281 просмотр
Подписаться 1 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 2
hint000
@hint000
у админа три руки
Не скажу за SUSE, а в Убунте
grep useradd auth.log | grep "UID=0"
Это буквально о создании пользователя с правами рута. Права на sudo могут быть у обычного пользователя (без UID=0).
Также это касается и выдачи прав (sudo)
Скажем так, логируется использование sudo.
grep sudo auth.log
Выяснить, имеет ли пользователь права на sudo, можно следующим образом.
Файл /etc/sudoers покажет, каким пользователям и группам разрешено sudo. Посмотреть группы пользователя: groups имяпользователя
Фикус-пикус в том, что создать пользователя и\или добавить пользователя в группу можно и не пользуясь штатными командами useradd, groupadd, а вместо этого вручную редактируя файлы /etc/passwd, /etc/group, /etc/shadow, /etc/gshadow. Легко отследить по логам то, что никто не пытается скрыть или запутать. Для остального к логам приходится добавлять голову, т.к. готовых рецептов на всё на свете нет и каждый конкретный случай может потребовать индивидуального подхода в расследовании.
Ответ написан
Комментировать
dimonchik2013
@dimonchik2013
non progredi est regredi
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы