En una caja de producción de Redhat, alguien acaba de ejecutar el apagado y necesito encontrar el archivo de registro que muestra específicamente qué usuario ejecutó el comando "apagar" (y cuándo sería bueno).
Respuesta1
Solo el root puede ejecutar el apagado, por lo que ese usuario era root.
Esperemos que imponga el uso de sudopara ejecutar comandos raíz. En ese caso, mire /var/log/securepara averiguar quién lo hizo sudo shutdown.
Respuesta2
Dependiendo de cómo se ejecutó el comando, esto puede resultar un poco complicado.
- Verifique sus registros de sudo, están usando sudo, ¿verdad?
- Si se ejecuta directamente como root, vea quién más inició sesión al mismo tiempo.
lastPuede resultar útil utilizar el archivo wtmp a través del comando. - Si iniciaron sesión de forma remota como root, verifique nuevamente usando
lastdesde qué dirección iniciaron sesión y quién estaba usando ese sistema en ese momento. Además, solucione este problema para que no puedan iniciar sesión de forma remota como root. - Si inició sesión a través de la consola, verifique sus registros de acceso para ver quién tenía acceso físico al sistema en ese momento.
Respuesta3
last|head
Esperemos que no haya muchos administradores conectados al mismo tiempo como root.