Как определить, какой пользователь с правами root завершил задание/процесс из пула

Как определить, какой пользователь с правами root завершил задание/процесс из пула

Мне было интересно узнать, есть ли 3 или 4 человека, которые имеют права root на узле. Один из них инициировал задание для выполнения, но кто-то остановил выполнявшееся задание. Как лучше всего определить человека, который остановил задание/процесс, поскольку у каждого есть права root?

решение1

Невозможно без включения надлежащего аудита. Без аудита вы можете только догадываться на основе временных меток, когда именно была завершена работа (если у вас есть такая информация) и какие пользователи вошли в систему. Я предполагаю, что они входят в систему как обычные пользователи и используют что-то вроде suили , sudoчтобы стать root.

О аудите - базовым было бы иметь скрипт входа для root, который бы устанавливал другой файл истории в зависимости от того, кто переключается на root. Для более сложного аудита (ядро само регистрирует, какой пользователь что делает), гуглите "linux auditing".

Связанный контент