SSH를 통한 직접 루트 로그인은 허용되지 않지만 콘솔 액세스를 통한 직접적인 루트 로그인은 허용됩니다. 직접 루트 로그인을 기록하고 누군가 루트를 사용하여 콘솔을 통해 로그인하는 경우 이메일을 보내거나 로그 파일에 쓸 수 있습니까?
우리는 Centos 5/6을 사용합니다
답변1
Linux 로그인 프로세스는 주로 다음에 의해 결정됩니다.팸(Pluggable Authentication Modules for Linux)는 로컬 시스템 관리자가 애플리케이션이 사용자를 인증하는 방법을 선택할 수 있는 공유 라이브러리 제품군입니다.
기본적으로 일부 PAM 메시지는 이미 syslog에 기록되어 있으므로 이를 모니터링하여 알림을 트리거할 수 있습니다. 특히 로그인 이벤트는 /var/log/secure기본적으로 기록됩니다 . 경고를 위해 이 파일을 모니터링할 수 있습니다.
또는 다음을 사용할 수 있습니다.pam_exec성공적인 로그인 이벤트의 일부로 특정 알림 명령이 실행되도록 합니다.
session [default=1 success=ignore] pam_succeed_if.so quiet uid = 0
session required pam_exec.so /usr/bin/wall "root has logged in!"