Auf einer Redhat-Produktionsbox hat jemand gerade „shutdown“ ausgeführt, und ich muss die Protokolldatei finden, aus der konkret hervorgeht, welcher Benutzer den Befehl „shutdown“ ausgeführt hat (und wann wäre nett).
Antwort1
Nur Root kann das Herunterfahren ausführen, daher war dieser Benutzer Root.
Hoffentlich erzwingen Sie die Verwendung von sudozum Ausführen von Root-Befehlen. In diesem Fall schauen Sie nach, /var/log/securewer dies getan hat sudo shutdown.
Antwort2
Je nachdem, wie der Befehl ausgeführt wurde, kann dies etwas knifflig sein.
- Überprüfen Sie Ihre Sudo-Protokolle. Sie verwenden Sudo, richtig?!?
- Wenn Sie es direkt als Root ausführen, sehen Sie, wer sonst noch gleichzeitig angemeldet war. Die Verwendung der wtmp-Datei über den
lastBefehl kann hilfreich sein. - Wenn sie sich remote als Root angemeldet haben, überprüfen Sie erneut,
lastvon welcher Adresse aus sie sich angemeldet haben und wer das System zu diesem Zeitpunkt verwendet hat. Beheben Sie dies außerdem, sodass sie sich nicht remote als Root anmelden können. - Wenn Sie über die Konsole angemeldet sind, überprüfen Sie Ihre Zugriffsprotokolle, um festzustellen, wer zu diesem Zeitpunkt physischen Zugriff auf das System hatte.
Antwort3
last|head
Hoffentlich sind nicht zu viele Admins gleichzeitig als Root angemeldet.