centos – 让auditd记录原始用户

CentOS 2020-08-25
这个问题与我之前的问题有关: Log all commands run by admins on production servers

管理员通过个人用户名登录服务器的公司政策,然后运行sudo -i成为root用户.运行sudo -i后,sudo将创建一个名为SUDO_USER的环境变量,其中包含原始用户用户名.

是否可以让auditd在每个命令的日志中包含此变量?或功能等同物.

这是auditd的当前规则集:

# First rule - delete all
-D

# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320

# Log any command run on this system
#-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
here所述:

运用

会话需要pam_loginuid.so

在所有登录相关的PAM配置文件(不是su和sudo的文件)中,auditd将让auditd在字段auid中记录调用用户的uid.

您可以使用以下方式在auditd的日志中搜索此ID

ausearch -ua< uid>

即使在冒充其他帐户时,也会产生用户发出的所有命令.

相关文章

Centos下搭建性能监控Spotlight
Centos下搭建性能监控Spotlight
CentOS 6.3下Strongswan搭建IPSec VPN
CentOS 6.3下Strongswan搭建IPSec VPN
在CentOS6.5上安装Skype与QQ
在CentOS6.5上安装Skype与QQ
阿里云基于centos6.5主机VPN配置
阿里云基于centos6.5主机VPN配置
CentOS 6.3下配置multipah
CentOS 6.3下配置multipah
CentOS安装、配置APR和tomcat-native
CentOS安装、配置APR和tomcat-native