Em uma caixa de produção redhat, alguém acabou de executar o shutdown e preciso encontrar o arquivo de log que mostra especificamente qual usuário executou o comando "shutdown" (e quando seria bom).
Responder1
Somente root pode executar shutdown, portanto esse usuário era root.
Esperamos que você imponha o uso de sudopara executar comandos root. Nesse caso, procure /var/log/securepara descobrir quem fez isso sudo shutdown.
Responder2
Dependendo de como o comando foi executado, isso pode ser um pouco complicado.
- Verifique seus logs do sudo, eles estão usando o sudo, certo?!?
- Se for executado diretamente como root, veja quem mais estava logado ao mesmo tempo. Usar o arquivo wtmp por meio do
lastcomando pode ser útil. - Se eles efetuaram login remotamente como root, verifique novamente usando
lastde qual endereço eles efetuaram login e quem estava usando esse sistema naquele momento. Além disso, corrija isso para que eles não possam fazer login remotamente como root. - Se estiver logado pelo console, verifique seus logs de acesso para ver quem tinha acesso físico ao sistema no momento.
Responder3
last|head
Esperamos que não haja muitos administradores logados ao mesmo tempo que o root.