Ich war neugierig, ob 3 oder 4 Leute Root-Zugriff auf einen Knoten haben. Eine der Personen hat einen Job zum Ausführen initiiert, aber jemand anderes hat den laufenden Job beendet. Was wäre der beste Weg, die Person zu identifizieren, die den Job/Prozess beendet hat, da jeder Root-Zugriff hat.
Antwort1
Ohne ordnungsgemäß aktivierte Überwachung nicht möglich. Ohne Überwachung können Sie nur anhand von Zeitstempeln raten, wann genau der Job beendet wurde (falls Sie über solche Informationen verfügen) und welche Benutzer angemeldet waren. Ich vermute, sie melden sich als normale Benutzer an und verwenden etwas wie suoder , sudoum Root zu werden.
Zum Thema Auditing: Einfach wäre ein Login-Skript für Root, das eine andere Verlaufsdatei einrichtet, je nachdem, wer zu Root wechselt. Für ein anspruchsvolleres Auditing (der Kernel selbst protokolliert, welcher Benutzer was tut) googeln Sie nach „Linux Auditing“.