f0kusn1k

Плохо читали.

Specifies the TCP/IP address(es) on which the server is to listen for connections from client applications.

listen_addresses - это адрес сервера, на котором postrgesql слушает подключения от клиентов. К адресам клиентов не имеет никакого отношения.

zver - наш воображаемый пользователь-зверь.

1. Какой пользователь в какое время заходил?

- last - история входов.
- last zver - история входов зверя.
- lastb zver - история неудачных входов зверя.
- last zver | grep "Jan 21" - история входов зверя за 21 января сего года.
- last -s -7days zver - история входов зверя за последние 7 дней.
- last -s 2025-01-15 -t 2025-01-21 zver - история входов зверя за 15-21 января 2025 года.

2. Действия того или иного пользователя?

- cat /home/zver/.bash_history - история команд зверя.
- who -u - показывает активных пользователей (терминалы и время входа).
- ps -u zver - показывает список активных процессов зверя.
- sudo iotop -u zver - мониторинг ввода вывода пользователя зверя (в режиме реального времени).
- sudo iftop -f "src user zver" - показывает сетевой трафик зверя.
- sudo tail -f /var/log/syslog | grep zver - просмотр действий зверя в реальном времени.
- sudo journalctl -f | grep zver - отслеживание действий зверя в реальном времени (если используется systemd).
- sudo lsof -u zver - какие файлы открыты у зверя.
- find /home/zver -type f -mmin -60 - какие файлы изменил зверь за последний час.
- stat /home/zver/nomera-devchonok.txt - показывает подробности что делал зверь с файлом стратегического назначения.

3. Если пользователь пользовался sudo -i, sudo -s, sudo su, как посмотреть, что он делал под этими оболочками?

- sudo grep zver /var/log/auth.log - история команд (втч. под sudo) зверя.
- sudo zgrep zver /var/log/auth.log* - просмотр истории команд зверя из текущих и архивных логгов.
- sudo aureport -x --summary - показывает сводку команд (втч. под sudo).

Расширенный мониторинг зверей - auditd и еще.

- Разница 1: Почти, sudo -i также меняет HOME на /root, и читает логин скрипты root юзера.
- Разница 2: Верно, действия с sudo -i и sudo -s логгируются в журналах юзера, а sudo su - нет.
- Разница 3: Верно, sudo позволяет настраивать ограничения для команд через sudo -i и sudo -s, но не для sudo su (так как sudo su переключает юзера в root).

Еще не понял разницу между
sudo su
sudo su -

- sudo su - переключает юзера на root, но окружение при этом не является полным root окружением.
- sudo su - - эмулирует полный вход юзера root (login shell). Будут прочитаны все файлы конфигурации, которые обычно читаются при входе root (profile, .bash_profile, .bashrc и что-то там еще). Насколько я понимаю, это то, что нужно Вам при работе от имени юзера root.

И где можно смотреть логи пользаков при использовании sudo -i, sudo -s?

Viewing and monitoring log files, можно еще заюзать journalctl.