Redhat 프로덕션 환경에서 누군가 방금 shutdown 명령을 실행했는데, 어떤 사용자가 "shutdown" 명령을 실행했는지(그리고 언제 실행하면 좋을지) 구체적으로 보여주는 로그 파일을 찾아야 합니다.
답변1
루트만 종료를 실행할 수 있으므로 해당 사용자는 루트였습니다.
sudo루트 명령을 실행하려면 을 사용하도록 하시기 바랍니다 . 그런 경우에는 /var/log/secure누가 그랬는지 알아 보십시오 sudo shutdown.
답변2
명령이 실행된 방식에 따라 이는 약간 까다로울 수 있습니다.
- sudo 로그를 확인하세요. sudo를 사용하고 있는 것 맞죠?!?
- 루트로 직접 실행하는 경우 동시에 로그인한 다른 사람이 누구인지 확인하세요. 명령 을 통해 wtmp 파일을 사용하는 것이
last도움이 될 수 있습니다. - 원격으로 루트로 로그인한 경우
last로그인한 주소와 당시 해당 시스템을 사용하고 있던 사람을 다시 확인하십시오. 또한 루트로 원격으로 로그인할 수 없도록 이 문제를 수정하세요. - 콘솔을 통해 로그인한 경우 액세스 로그를 확인하여 당시 시스템에 물리적으로 액세스한 사람이 누구인지 확인하세요.
답변3
last|head
너무 많은 관리자가 루트로 동시에 로그인하지 않기를 바랍니다.