Отображение сообщения, когда Root Account Accessed by IP
Да, вы можете сделать это легко, используя Сохранить как:
Перейти в Файл -> Сохранить как.
И есть даже поддержка для [ f1].
LibreOffice Writer способен открывать и сохранять документы в нескольких форматах, включая OASIS Open Document Format 1.1 (его формат по умолчанию), DOC, DOCX, RTF и XHTML Microsoft Word.3 ответа
/var/log/auth.log содержит совсем немного того, что вы хотите. Например, эскалация в root с помощью sudo -s сгенерировала эту запись:
Dec 18 19:31:23 kazwolfe sudo: kazwolfe : TTY=pts/1 ; PWD=/home/kazwolfe ; USER=root ; COMMAND=/bin/bash
Dec 18 19:31:23 kazwolfe sudo: pam_unix(sudo:session): session opened for user root by kazwolfe(uid=0)
Оттуда я могу посмотреть на команду who, чтобы получить IP-адрес pts/1:
kazwolfe pts/1 2017-12-18 19:30 (2001:db8::4665)
Этот раздел в скобках - это мой IPv6-адрес и может использоваться как запись в журнале. Вы также можете увидеть, когда я загрузил сеанс.
auth.log также будет содержать другие записи для sudo:
Dec 18 19:33:30 kazwolfe sudo: kazwolfe : TTY=pts/1 ; PWD=/home/kazwolfe ; USER=root ; COMMAND=/bin/cat data
Dec 18 19:33:30 kazwolfe sudo: pam_unix(sudo:session): session opened for user root by kazwolfe(uid=0)
Dec 18 19:33:30 kazwolfe sudo: pam_unix(sudo:session): session closed for user root
Dec 18 19:33:40 kazwolfe sudo: kazwolfe : TTY=pts/1 ; PWD=/home/kazwolfe ; USER=root ; COMMAND=/usr/bin/tail /var/log/auth.log
Dec 18 19:33:40 kazwolfe sudo: pam_unix(sudo:session): session opened for user root by kazwolfe(uid=0)
Пока вы заставляете своих админов проходить sudo, эти записи журнала будут генерироваться при каждой эскалации. Тем не менее важно отметить, что пользователь root может скрывать или иным образом изменять эти журналы, чтобы скрыть вещи.
Если вы предпочитаете не подключаться к файлам журналов, вы можете установить sudo на всегда отправку электронное письмо (см. man sudoers), хотя имейте в виду, что это может создать много бесполезных писем.
Если вы сделаете это, ваша электронная почта будет содержать почти ту же информацию, что указана выше. IP-адреса по-прежнему необходимо запрашивать отдельно, но вы всегда можете использовать команду last, чтобы получить последние несколько логинов.
Администраторы должны будут много быстро перехватывать вещи, поэтому им будет трудно скрыть повреждение (хотя они могут удалять письма из вашего почтового ящика, если они находятся на одном и том же сервера). Тем не менее, эти журналы по-прежнему не будут предоставлять информацию о том, что они сделали внутри сеанса sudo (особенно, если они перешли в командную строку). Решения для этого гораздо сложнее.
-
1Фактически, используя это, вы помогли мне разработать план. Я использую ssmtp для отправки писем. Я создал скрипт root_login.sh. Внутри я добавил: [echo " Доступ к учетной записи root. Вот недавняя активность входа " last] Я использую .bash_profile Я разместил bash root_login.sh | ssmtp myemailaddress. Единственным недостатком является то, что требуется около 35 секунд для отправки, но он не отображает никакого вывода и работает, когда пользователь использует sudo -i. – Harley Frank 19 December 2017 в 08:13
/var/log/auth.log содержит совсем немного того, что вы хотите. Например, эскалация в root с помощью sudo -s сгенерировала эту запись:
Dec 18 19:31:23 kazwolfe sudo: kazwolfe : TTY=pts/1 ; PWD=/home/kazwolfe ; USER=root ; COMMAND=/bin/bash
Dec 18 19:31:23 kazwolfe sudo: pam_unix(sudo:session): session opened for user root by kazwolfe(uid=0)
Оттуда я могу посмотреть на команду who, чтобы получить IP-адрес pts/1:
kazwolfe pts/1 2017-12-18 19:30 (2001:db8::4665)
Этот раздел в скобках - это мой IPv6-адрес и может использоваться как запись в журнале. Вы также можете увидеть, когда я загрузил сеанс.
auth.log также будет содержать другие записи для sudo:
Dec 18 19:33:30 kazwolfe sudo: kazwolfe : TTY=pts/1 ; PWD=/home/kazwolfe ; USER=root ; COMMAND=/bin/cat data
Dec 18 19:33:30 kazwolfe sudo: pam_unix(sudo:session): session opened for user root by kazwolfe(uid=0)
Dec 18 19:33:30 kazwolfe sudo: pam_unix(sudo:session): session closed for user root
Dec 18 19:33:40 kazwolfe sudo: kazwolfe : TTY=pts/1 ; PWD=/home/kazwolfe ; USER=root ; COMMAND=/usr/bin/tail /var/log/auth.log
Dec 18 19:33:40 kazwolfe sudo: pam_unix(sudo:session): session opened for user root by kazwolfe(uid=0)
Пока вы заставляете своих админов проходить sudo, эти записи журнала будут генерироваться при каждой эскалации. Тем не менее важно отметить, что пользователь root может скрывать или иным образом изменять эти журналы, чтобы скрыть вещи.
Если вы предпочитаете не подключаться к файлам журналов, вы можете установить sudo на всегда отправку электронное письмо (см. man sudoers), хотя имейте в виду, что это может создать много бесполезных писем.
Если вы сделаете это, ваша электронная почта будет содержать почти ту же информацию, что указана выше. IP-адреса по-прежнему необходимо запрашивать отдельно, но вы всегда можете использовать команду last, чтобы получить последние несколько логинов.
Администраторы должны будут много быстро перехватывать вещи, поэтому им будет трудно скрыть повреждение (хотя они могут удалять письма из вашего почтового ящика, если они находятся на одном и том же сервер). Тем не менее, эти журналы по-прежнему не будут предоставлять информацию о том, что они сделали внутри сеанса sudo (особенно, если они перешли в командную строку). Решения для этого гораздо сложнее.
/var/log/auth.log содержит совсем немного того, что вы хотите. Например, эскалация в root с помощью sudo -s сгенерировала эту запись:
Dec 18 19:31:23 kazwolfe sudo: kazwolfe : TTY=pts/1 ; PWD=/home/kazwolfe ; USER=root ; COMMAND=/bin/bash
Dec 18 19:31:23 kazwolfe sudo: pam_unix(sudo:session): session opened for user root by kazwolfe(uid=0)
Оттуда я могу посмотреть на команду who, чтобы получить IP-адрес pts/1:
kazwolfe pts/1 2017-12-18 19:30 (2001:db8::4665)
Этот раздел в скобках - это мой IPv6-адрес и может использоваться как запись в журнале. Вы также можете увидеть, когда я загрузил сеанс.
auth.log также будет содержать другие записи для sudo:
Dec 18 19:33:30 kazwolfe sudo: kazwolfe : TTY=pts/1 ; PWD=/home/kazwolfe ; USER=root ; COMMAND=/bin/cat data
Dec 18 19:33:30 kazwolfe sudo: pam_unix(sudo:session): session opened for user root by kazwolfe(uid=0)
Dec 18 19:33:30 kazwolfe sudo: pam_unix(sudo:session): session closed for user root
Dec 18 19:33:40 kazwolfe sudo: kazwolfe : TTY=pts/1 ; PWD=/home/kazwolfe ; USER=root ; COMMAND=/usr/bin/tail /var/log/auth.log
Dec 18 19:33:40 kazwolfe sudo: pam_unix(sudo:session): session opened for user root by kazwolfe(uid=0)
Пока вы заставляете своих админов проходить sudo, эти записи журнала будут генерироваться при каждой эскалации. Тем не менее важно отметить, что пользователь root может скрывать или иным образом изменять эти журналы, чтобы скрыть вещи.
Если вы предпочитаете не подключаться к файлам журналов, вы можете установить sudo на всегда отправку электронное письмо (см. man sudoers), хотя имейте в виду, что это может создать много бесполезных писем.
Если вы сделаете это, ваша электронная почта будет содержать почти ту же информацию, что указана выше. IP-адреса по-прежнему необходимо запрашивать отдельно, но вы всегда можете использовать команду last, чтобы получить последние несколько логинов.
Администраторы должны будут много быстро перехватывать вещи, поэтому им будет трудно скрыть повреждение (хотя они могут удалять письма из вашего почтового ящика, если они находятся на одном и том же сервер). Тем не менее, эти журналы по-прежнему не будут предоставлять информацию о том, что они сделали внутри сеанса sudo (особенно, если они перешли в командную строку). Решения для этого гораздо сложнее.