누군가가 사용자를 추가했다고 가정하면 sudo, 그 사람이 누구인지 쉽게 확인할 수 있는 방법이 있습니까?
답변1
그들이 를 사용했다고 언급했으므로 sudo로그에 이 내용이 있을 가능성이 높습니다.
예를 들어 systemd를 사용하면 다음과 같습니다.
% sudo useradd foobar
% sudo journalctl /bin/sudo | grep -e useradd -e adduser
Dec 18 22:42:37 gongzuo sudo[24430]: cdown : TTY=pts/10 ; PWD=/home/cdown ; USER=root ; COMMAND=/usr/sbin/useradd foobar
/var/log/secure시스템이 아닌 시스템에서는 일반적으로 이 로그를 또는 에서 찾을 수 있습니다 /var/log/auth.log.
답변2
제안된 대로 이는 시스템마다 다릅니다. Debian에서는 동일하지 않지만 Fedora Linux에서 테스트한 결과는 다음과 같습니다.
"감사 하위 시스템"은 기본적으로 설치되고 활성화됩니다. 를 사용하여 연 루트 셸에서 사용자가 useradd를 실행했는지 여부도 확인할 수 있습니다 sudo -i. 지속적인 systemd-journal이 있는 경우 해당 저널이 거기에 표시되어야 하며 감사에 책임이 있는 숫자 사용자 ID를 볼 수 있습니다.
2월 28일 17:30:32 alan-laptop audit[18253]: ADD_GROUP pid=18253 uid=0 보조=1000ses=9 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=add-group acct="test" exe="/usr/sbin/useradd" 호스트 이름=alan-laptop addr=? 터미널=pts/1 res=성공' 2월 28일
17:30:32 alan-laptop audit[18253]: ADD_USER pid=18253 uid=0 auid=1000 ses=9 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=사용자 ID 추가 =1003 exe="/usr/sbin/useradd" 호스트 이름=alan-laptop addr=? 터미널=pts/1 res=성공'