Как может я команды аудита, выполняемые пользователем, не устанавливая acct

Question 1

Я хочу к командам аудита, выполняемым для двух учетных записей на моем рабочем столе человечности приблизительно год назад. Я знаю о acct [sudo склонный - получают установку acct], куда я могу выполнить lastcomm, дамп-acct, дамп-utmp, но я хочу другой метод, где я ничего не должен устанавливать (acct.. и т.д.). Если возможно, может я знать местоположение, откуда acct выбирает информацию/данные.

Question 2

Вы не можете использовать acct к событиям аудита, которые произошли, прежде чем это было настроено или установлено, поскольку это - фоновый сервис, который собирает ту информацию. Тем не менее вот некоторые альтернативы:

.bash_history (или история других оболочек)

файл в корневом каталоге пользователя (/home/username/.bash_history) в котором Граница Снова Shell (значение по умолчанию в Ubuntu) хранит свою историю команд (к которому Вы получаете доступ при нажатии стрелки вверх для повторения предыдущей команды, среди прочего).

Пользователь может использовать другую оболочку. Можно проверить то, что окружает, они используют путем выполнения команды getent passwd username. Это расположено здесь:

$ getent passwd username
username:x:1000:1000:User Name,,,:/home/username:/bin/bash
                                                 ^^^^^^^^^

Файлы истории других оболочек:

bash    .bash_history
csh     .history
zsh     Hard to say, could be .histfile, .zhistory, or .zsh_history, or something else entirely.
fish    .local/share/fish/fish_history

(неисчерпывающий)

Обратите внимание, что много оболочек ограничивают размер файла истории. Если пользователь выполнял команды начиная с даты, Вы хотите контролировать, специально для долгого времени, существует хороший шанс, что Вы ищете, был перезаписан.

Журнал безопасности

Если бы команда, которую выполнил пользователь, была сделана с помощью sudo (Который был бы серьезным основанием хотеть контролировать ее!) затем это появится в журналах безопасности, новый, располагаемый в /var/log/auth.log. Запись похожа на это:

Jun 18 12:00:17 hostname sudo:   username : TTY=pts/0 ; PWD=/home/username ; USER=root ; COMMAND=/usr/bin/updatedb

Однако logrotate периодически сжимает старые журналы, таким образом, Вам, возможно, придется посмотреть на более старые журналы, названные как auth.log.4.gz. Простой способ просмотреть эти журналы, не разархивировав их с zless:

zless /var/log/auth.log.4.gz

Если Вы находите, что они вместо этого открыли оболочку как корень, Вы могли посмотреть на rootфайлы истории. (rootкорневой каталог обычно /root)

Нижняя строка

Если пользователь не замел следы хорошо, Вы смогли находить то, что Вы ищете. Однако не трудно не оставить трассировку, даже если пользователь просто стал удачливым, например, удалил чужие архивы, к которым у них был доступ в оболочке, которая не записывала историю.

Nonny Moose · Answer 1 · 29 October 2019 в 02:24

Вы не можете использовать acct к событиям аудита, которые произошли, прежде чем это было настроено или установлено, поскольку это - фоновый сервис, который собирает ту информацию. Тем не менее вот некоторые альтернативы:

.bash_history (или история других оболочек)

файл в корневом каталоге пользователя (/home/username/.bash_history) в котором Граница Снова Shell (значение по умолчанию в Ubuntu) хранит свою историю команд (к которому Вы получаете доступ при нажатии стрелки вверх для повторения предыдущей команды, среди прочего).

Пользователь может использовать другую оболочку. Можно проверить то, что окружает, они используют путем выполнения команды getent passwd username. Это расположено здесь:

$ getent passwd username
username:x:1000:1000:User Name,,,:/home/username:/bin/bash
                                                 ^^^^^^^^^

Файлы истории других оболочек:

bash    .bash_history
csh     .history
zsh     Hard to say, could be .histfile, .zhistory, or .zsh_history, or something else entirely.
fish    .local/share/fish/fish_history

(неисчерпывающий)

Обратите внимание, что много оболочек ограничивают размер файла истории. Если пользователь выполнял команды начиная с даты, Вы хотите контролировать, специально для долгого времени, существует хороший шанс, что Вы ищете, был перезаписан.

Журнал безопасности

Если бы команда, которую выполнил пользователь, была сделана с помощью sudo (Который был бы серьезным основанием хотеть контролировать ее!) затем это появится в журналах безопасности, новый, располагаемый в /var/log/auth.log. Запись похожа на это:

Jun 18 12:00:17 hostname sudo:   username : TTY=pts/0 ; PWD=/home/username ; USER=root ; COMMAND=/usr/bin/updatedb

Однако logrotate периодически сжимает старые журналы, таким образом, Вам, возможно, придется посмотреть на более старые журналы, названные как auth.log.4.gz. Простой способ просмотреть эти журналы, не разархивировав их с zless:

zless /var/log/auth.log.4.gz

Если Вы находите, что они вместо этого открыли оболочку как корень, Вы могли посмотреть на rootфайлы истории. (rootкорневой каталог обычно /root)

Нижняя строка

Если пользователь не замел следы хорошо, Вы смогли находить то, что Вы ищете. Однако не трудно не оставить трассировку, даже если пользователь просто стал удачливым, например, удалил чужие архивы, к которым у них был доступ в оболочке, которая не записывала историю.

Как может я команды аудита, выполняемые пользователем, не устанавливая acct

1 ответ

.bash_history (или история других оболочек)

Журнал безопасности

Нижняя строка

Другие вопросы по тегам:

Похожие вопросы: