如何識別哪個具有 root 存取權限的人從池中終止了作業/進程

如何識別哪個具有 root 存取權限的人從池中終止了作業/進程

我很好奇是否有 3 或 4 個人擁有節點的 root 存取權。其中一人啟動了一項正在運行的作業,但有人殺死了正在運行的作業。識別殺死該作業/進程的人的最佳方法是什麼,因為每個人都具有 root 存取權。

答案1

如果沒有啟用適當的審核,這是不可能的。如果不進行審核,您只能根據時間戳來猜測作業何時被終止(如果您有此類資訊)以及哪些使用者已su登入sudo。 。

關於審核 - 基本上是為 root 提供一個登入腳本,該腳本將根據誰切換到 root 來設定不同的歷史檔案。對於更複雜的審核(內核本身記錄哪個用戶做了什麼),請谷歌搜尋「linux審核」。

相關內容