私たちの会社はSuse Linuxを使用していますが、誰かが「su」コマンドを使用して私のLinuxユーザーに切り替えるたびに警告を受け取ることができるかどうか疑問に思います。実装する方法を知っていますか?
ありがとうございます。
答え1
標準のLinuxはを通じてsuとsudoの使用量を報告します/var/log/auth.log
。
したがって、最も簡単な方法は、対応するログファイルを追跡して警告を生成することです。簡単なスクリプトを作成して電子メールを送信したりアラートをトリガーしたりできるログファイルアナライザ(logstash、greylogなど)を使用できます。
以下はプロトコルの2つのsu
例ですsudo
。
su
ユーザー:testxは07:47:26にコマンドを使用して正常にルートを取得し、07:47:30に再び終了しました。
May 11 07:47:26 server su[3873]: Successful su for root by testx
May 11 07:47:26 server su[3873]: + /dev/pts/3 testx:root
May 11 07:47:26 server su[3873]: pam_unix(su:session): session opened for user root by testx(uid=1002)
May 11 07:47:30 server su[3873]: pam_unix(su:session): session closed for user root
ユーザー:testxはsudo
07:54:21にコマンドを使用して正常にルートを取得し、07:54:31に再び終了しました。
May 11 07:54:21 server sudo: testx : TTY=pts/3 ; PWD=/ ; USER=root ; COMMAND=/bin/sh
May 11 07:54:21 server sudo: pam_unix(sudo:session): session opened for user root by testx(uid=0)
May 11 07:54:31 server sudo: pam_unix(sudo:session): session closed for user root
ユーザーに許可されていないコマンド:testx sudo
(試行失敗)。
May 11 07:56:04 server sudo: testx : user NOT in sudoers ; TTY=pts/3 ; PWD=/ ; USER=root ; COMMAND=/bin/sh
ユーザー:テキストsu
コマンドは許可されていません(無効なパスワード)。
May 11 07:56:57 server su[3927]: pam_unix(su:auth): authentication failure; logname=testx uid=1002 euid=0 tty=/dev/pts/3 ruser=testx rhost= user=root
May 11 07:56:59 server su[3927]: pam_authenticate: Authentication failure
May 11 07:56:59 server su[3927]: FAILED su for root by testx
May 11 07:56:59 server su[3927]: - /dev/pts/3 testx:root