मैं लिनक्स सर्वर पर एक लंबे समय तक चलने वाला कार्यक्रम चला रहा हूं। कई अन्य उपयोगकर्ता भी इस सर्वर पर अपने कार्यक्रम चला रहे हैं। हम सभी के पास सूडो की अनुमति है।
एक शरारती उपयोगकर्ता मान लें कि मेरे चल रहे कार्यक्रम को मारता है, का उपयोग कर sudo killया कहें sudo pkill। मुझे कैसे पता चलेगा कि यह उपयोगकर्ता कौन है?
जवाबों:
हालाँकि पॉल का जवाब सही है, उस साक्ष्य को समाप्त किया जा सकता है, इसका मतलब यह नहीं है कि सबूत को समाप्त कर दिया गया है। कई लोग सूडो के बारे में जानते हैं, उन लोगों की संख्या की तुलना में जो जानते हैं कि पर्स में क्या होता है (यदि वे परेशान भी होंगे)।
मेरे सिस्टम पर, हर बार sudo का उपयोग किया जाता है, पूरी कमांड लाइन एक लॉग में संग्रहीत होती है। मुझे लगता है कि आपका सिस्टम भी ऐसा कर सकता है। OpenBSD पर, यह डेबियन सिस्टम पर है, जबकि यह var / log / loglog है, यह /var/log/auth.log है
यदि आपको नहीं पता कि कौन सी फ़ाइल ऐसी जानकारी संग्रहीत करती है, तो एक sudo कमांड चलाने का प्रयास करें। (इससे कोई फर्क नहीं पड़ता कि आप सूडो के साथ क्या करते हैं: यहां तक echoकि पर्याप्त भी होगा। इसका उद्देश्य उन लॉग को संशोधित करना है जो कि जीओ उपयोग किए जाने पर संशोधित हो जाते हैं।) इसके बाद उपयोग करें।
ls -ltr /var/log/*auth*
या
ls -ltr /var/log | tail
हाल ही में संशोधित फ़ाइलों को खोजने के लिए।
यदि आप सभी के पास है sudo, तो मारे गए प्रक्रिया के सबूत रखने का कोई गारंटी तरीका नहीं है, क्योंकि किसी भी सबूत को अनुमति के समान स्तर के साथ हटाया जा सकता है।
आप विशिष्ट syscalls, जैसे कि मार को ट्रैक करने के लिए auditd ऑडिटिंग डेमॉन का उपयोग कर सकते हैं ।
जाहिर है एक रूट उपयोगकर्ता पहले ऑडिट डेमॉन को रोक सकता है, फिर लॉग को हटा सकता है। इसलिए आप बाहरी रूप से लॉग निर्यात करना चाहते हैं।
बेहतर दृष्टिकोण प्रबंधित सुडो के लिए बेहतर होगा, प्रत्येक उपयोगकर्ता को केवल उनकी आवश्यकता के लिए पहुंच प्रदान करेगा। सामान्य उपयोगकर्ताओं को लगभग पूर्ण रूट एक्सेस की आवश्यकता नहीं होती है, और आप अनुमतियों का सबसेट देने के लिए sudo का उपयोग कर सकते हैं।